ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Если не сложно, нужно еще немного помощи.

Пробую залить первичный шелл через SQL инъекцию, но не получается, запрос, судя по всему, выдает ошибку. Варианта два - либо нет прав на запись файла в директорию сайта (не думаю, что в этом дело) или, самое вероятное, проблему создает хвост запроса - " and DDD = 1". Если в случае обычного запроса к таблицам можно было избавиться от хвоста, написав запрос, который объединяет три подзапроса через union, где первый и третий использовались лишь для замыкания конструкций по обе стороны от места инъекции, а главная работа происходила во втором, то сейчас такой трюк не сработает, будет выдавать "Incorrect usage of UNION and INTO". Попытка закомментировать хвост через ;# или # не дает эффекта.

Код:

Входные значение пробовал такие:

$p_ina - 1

$p_ina - ' union select OUT_A,2,3,4 from TABLE where OUT_A = 123 union select 1,2,3,4 into outfile 'tmp'#

Как добиться выполнения запроса - пока нет никаких идей.

UPD: решил проверить, а работает ли комментирование хвоста через # для обычного запроса. Как оказалось, работает (потому я упростил вышенаписанное значение переменной в соответствии с ситуацией). В таком случае, запрос на запись файла не работает по каким-то другим причинам. Что интересно, что если удалить подчеркнутую часть, тем самым оставив лишь запрос на получение данных из таблицы, то работает. Такое ощущение, что у mysql нет прав на запись файлов, даже в собственном каталоге - такое может быть?

Привет всем)Вот результат пентеста.Кто чё скажет?

[QUOTE="result"]
result said:
__________________________________________________ _____________
__ _______ _____
\ \ / / __ \ / ____|
\ \ /\ / /| |__) | (___ ___ __ _ _ __
\ \/ \/ / | ___/ \___ \ / __|/ _` | '_ \
\ /\ / | | ____) | (__| (_| | | | |
\/ \/ |_| |_____/ \___|\__,_|_| |_|
WordPress Security Scanner by the WPScan Team
Version v2.2
Sponsored by the RandomStorm Open Source Initiative
@_WPScan_, @ethicalhack3r, @erwan_lr, @gbrindisi, @_FireFart_
__________________________________________________ _____________
| URL: http://*****.ru/
| Started: Sun Mar 2 09:12:15 2014
[+] robots.txt available under: 'http://*****.ru/robots.txt'
[!] The WordPress 'http://*****.ru/readme.html' file exists
[+] Interesting header: KEEP-ALIVE: timeout=20
[+] Interesting header: SERVER: nginx
[+] XML-RPC Interface available under: http://*****.ru/xmlrpc.php
[+] WordPress version 3.3.1 identified from meta generator
[!] 5 vulnerabilities identified from the version number:
|
| * Title: Multiple vulnerabilities including XSS and Privilege Escalation
| * Reference: http://wordpress.org/news/2012/04/wordpress-3-3-2/
|
| * Title: Wordpress 3.3.1 Multiple CSRF Vulnerabilities
| * Reference: http://www.exploit-db.com/exploits/18791/
|
| * Title: XSS vulnerability in swfupload in WordPress
| * Reference: http://seclists.org/fulldisclosure/2012/Nov/51
|
| * Title: XMLRPC Pingback API Internal/External Port Scanning
| * Reference: https://github.com/FireFart/WordpressPingbackPortScan..
|
| * Title: WordPress XMLRPC pingback additional issues
| * Reference: http://lab.onsec.ru/2013/01/wordpress-xmlrpc-pingback..
[+] WordPress theme in use: f2 v1.0.10
| Name: f2 v1.0.10
| Location: http://*****.ru/wp-content/themes/f2/
[+] Enumerating plugins from passive detection ...
| 2 plugins found:
| Name: contact-form-plugin v3.38
| Location: http://*****.ru/wp-content/plugins/contact-form-plugin/
| Readme: http://*****.ru/wp-content/plugins/contact-form-plugi..
|
| * Title: Contact Form 3.36 - contact_form.php cntctfrm_contact_email Parameter XSS
| * Reference: http://secunia.com/advisories/52250
| * Reference: http://osvdb.org/90503
| Name: nextgen-gallery
| Location: http://*****.ru/wp-content/plugins/nextgen-gallery/
| Readme: http://*****.ru/wp-content/plugins/nextgen-gallery/re..
| Changelog: http://*****.ru/wp-content/plugins/nextgen-gallery/ch..
|
| * Title: SWF Vulnerable to XSS Bundled in Many WordPress Plugins
| * Reference: http://brindi.si/g/blog/vulnerable-swf-bundled-in-wor..
| * Reference: http://secunia.com/advisories/51271
| * Fixed in: 1.9.8
|
| * Title: NextGEN Gallery

Проверив все, что пришло в голову, я попал в тупик. Учетная запись в mysql по всей видимости очень урезана, из-за чего я не могу производить запись в файл. Я пробовал вывести список того, какие права ей даны, но максимум, что мне показывает, так это "USAGE:NO", других видов прав как будто не существует (даже если строго задать запрос на показ значения, наприме для FILE). Доступа к mysql.user конечно же у меня нет, а чтение grantee из information_schema.user_privileges показывает лишь мой используемый аккаунт.

Помимо этой sql инъекции есть php инъекция на чтение файлов (не root). Пробовал найти места страниц на исполнение кода, но в программе нигде не используются eval, exec, shell_exec, возможности инъекции в include/require тоже не смог найти (плюс, запрещено подключение файлов извне сервера, так что если вдруг, то только локально), и ко всему прочему ко многим глобальным переменным, как $_SESSION, $_GET, $_POST, $_REQUEST, применяется mysql_real_escape_string, strip_tags, htmlspecialchars (я же использую упущение при необработке cookies). Доступ к админ панели закрыт путем ограничения по списку допустимых IP адресов через $_SERVER['REMOTE_ADDR']. Быть может есть уязвимости в каких-то других файлах сайта, но получить список файлов я не могу, и потому приходится довольствоваться лишь тем, что было найдено в виде упоминаний в известных страницах плюс свои догадки о существовании страниц/файлов.

По правде говоря, у меня закончились идеи, как можно было бы попытаться залить шелл. Не то, что бы я собирался что-то делать с сайтом, мне интересна сама возможность получить доступ к серверу как факт (это моя первая попытка в области взлома сайтов, потому очень хочется добиться хорошего результата). Если у кого-нибудь есть идеи, что можно было бы еще попытаться предпринять, буду рад услышать.

вопрос про параметри limit

в таблице 300 записей, как указать параметр limit, чтобы все данные отобразились сразу

чтобы все отобразились лимит вобще не нужен

limit 0, 300

Первое число, с какой строки начинать выборку

Второе кол-во выводимых строк

Можно ли каким-либо образом через SQL инъекцию, которая обрабатывается через mysql_db_query (PHP), выполнить SET операцию? Поскольку на group_concat по умолчанию стоит ограничение длины результата в 1024 символа, вытаскивать данные такими мелкими порциями очень ресурсо/времязатратно, потому хотелось бы попытаться выполнить "set group_concat_max_len = 100500".

Xss Подскажите как раскрутить уязвимость)

Ищешь уязвимый сайт => подставляешь JS код.