ANTICHAT Forum
HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
   
 
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 11.11.2020, 16:41
Forserer
Познающий
Регистрация: 16.08.2015
Сообщений: 58
С нами: 5654486

Репутация: 0
По умолчанию

Всем привет, получилось добраться через SQL до чтения файлов на сервере

.SpoilerTarget" type="button">Spoiler: OS на сервере

Код:
NAME="Ubuntu"
VERSION="18.04.1 LTS (Bionic Beaver)"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 18.04.1 LTS"
VERSION_ID="18.04"
VERSION_CODENAME=bionic
UBUNTU_CODENAME=bionic
Но похоже что данный сервер это только БД и на нем нет ничего другого из серии apache nginx ftp вроде как после просмотра "/var/log/dpkg.log"

удалось найти в конфиге mysql такое, не понятно как к этому подключаться только

.SpoilerTarget" type="button">Spoiler: MariaDB

Код:
wsrep_on = ON
wsrep_provider                  = /usr/lib/galera/libgalera_smm.so
wsrep_cluster_name=my_wsrep_cluster
wsrep_cluster_address="gcomm://XX.88.78.XX:4567"
wsrep_node_address="XX.XXX.XXX.XXX"
wsrep_node_name=hw1
wsrep_sst_auth=login:pass
#wsrep_sst_method=xtrabackup-v2
wsrep_sst_method=mariabackup
/etc/passwd читается, но вот /etc/shadow его нету

Как я понял сервер конкретно под базу, может быть есть какие варианты узнать например ip чтобы к нему попробовать подключиться, или еще куда копнуть попробовать?

UPDATE:

нашел еще один момент с sql injection можно вставлять на страницу тэги script и прочие, но вот при вставке строка приобретает такой вид на странице может есть варианты это обойти? строки на страницу вставляю только после кодирования в HEX иначе не работает вставка тэгов
 
Ответить с цитированием
 



Предыдущая тема Следующая тема

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.