Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. SaNDER

    SaNDER Banned

    Joined:
    9 Jul 2015
    Messages:
    213
    Likes Received:
    15
    Reputations:
    3
    Там PMA не так выглядит как обычно,будто бы не полноценная,чисто одним текстом и версия не указана.Нашёл файл phpMyAdmin.spec
    И если там не вранье,то версия 2.8.0
    Code:
    %define _myadminpath /var/www/myadmin
    %define pkgrelease rc1
    %define microrelease 1
    
    Name: phpMyAdmin
    Version: 2.8.0
    Release: %{pkgrelease}.%{microrelease}
    License: GPL
    Group: Applications/Databases/Interfaces
    Source0: http://prdownloads.sourceforge.net/phpmyadmin/%{name}-%{version}-%{pkgrelease}.tar.bz2
    Source1: phpMyAdmin-http.conf
    URL: http://sourceforge.net/projects/phpmyadmin/
    Requires: mysql
    Requires: php-mysql
    Buildarch: noarch
    BuildRoot: %{_tmppath}/%{name}-root
    
    Summary: phpMyAdmin - web-based MySQL administration
    Нашёл файл swekey.sample-1.conf.
    Там нашёл это :
    Code:
    0000000000000000000000000000763A:root
    000000000000000000000000000089E4:steve
    0000000000000000000000000000231E:scott
     
  2. crlf

    crlf Members of Antichat

    Joined:
    18 Mar 2016
    Messages:
    496
    Likes Received:
    884
    Reputations:
    314
  3. Vot0Ex

    Vot0Ex New Member

    Joined:
    20 May 2017
    Messages:
    4
    Likes Received:
    0
    Reputations:
    1
    Список публичных уязвимостей phpMyAdmin с 2001 года по сей день.
    http://www.cvedetails.com/product/1341/?q=Phpmyadmin
    Приватные уязвимости вряд ли кто станет палить)
     
  4. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    163
    Likes Received:
    31
    Reputations:
    0
    pma/Documentation.html помоему. или знак вопроса на форме входа.
    http://0day.today/search?search_request=phpmyadmin
     
  5. exT1ma4ka

    exT1ma4ka New Member

    Joined:
    12 May 2010
    Messages:
    44
    Likes Received:
    2
    Reputations:
    5
    в sql-inj фильтруется слово OUTFILE. привилегии есть, иначе бы и спрашивать не стал. как поступить ?

    - конструкция /**/ внутри не работает, как и %0b, как и + и пробел.
     
  6. ms13

    ms13 Level 8

    Joined:
    19 Jun 2015
    Messages:
    2,152
    Likes Received:
    9,318
    Reputations:
    110
    Вывод, пожалуйста
     
  7. BabaDook

    BabaDook Level 8

    Joined:
    9 May 2015
    Messages:
    1,021
    Likes Received:
    1,383
    Reputations:
    53
    н
    нахуя оно тебе ?
     
  8. exT1ma4ka

    exT1ma4ka New Member

    Joined:
    12 May 2010
    Messages:
    44
    Likes Received:
    2
    Reputations:
    5
    SELECT 1 INTO OUTFILE 0x272f6562616c2f74766f752f6d616d6b752f62726f2e74687827 - outfile фильтруется, не проходит.
     
  9. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    832
    Likes Received:
    805
    Reputations:
    90
    'INTO OUTFILE' hex не воспринимает, недавно же это писали
     
    _________________________
    ACat likes this.
  10. exT1ma4ka

    exT1ma4ka New Member

    Joined:
    12 May 2010
    Messages:
    44
    Likes Received:
    2
    Reputations:
    5
    пусть. но вопрос всё равно открыт - как поступить, если OUTFILE фильтруется ? просто по-факту, ибо нигде на этот счёт не пишут. для развития.
     
  11. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    832
    Likes Received:
    805
    Reputations:
    90
    если это тот же сайт, на котором даже урлдекода нет, но сомневаюсь что оно фильтруется, скорее всего прав на запись не хватает, проверь вообще работает ли оно(в /tmp по дефолту запись есть у всех)
    Code:
    select 'test' from(select 1)x INTO OUTFILE '/tmp/qqq'
    select load_file('/tmp/qqq')
    
    если не работает, то забить на этот вектор, искать другое
    хз ещё как апач/etc настроен, файл если и создастся - то из под юзера мускул, не факт что будет работать
     
    _________________________
  12. exT1ma4ka

    exT1ma4ka New Member

    Joined:
    12 May 2010
    Messages:
    44
    Likes Received:
    2
    Reputations:
    5
    нет. на том нет mysql привилегий на запись, сейчас говорю о другом. и в данном случае ' фильтруются, поэтому приходится в hex переводить.
     
  13. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    832
    Likes Received:
    805
    Reputations:
    90
    hex не катит, читай файлы сайта, может что интересное встретится
     
    _________________________
  14. BabaDook

    BabaDook Level 8

    Joined:
    9 May 2015
    Messages:
    1,021
    Likes Received:
    1,383
    Reputations:
    53
    Есть ещё пару вариантов, хотя с 0x272f6562616c2f74766f752f6d616d6b752f62726f2e74687827 нету вариантов, жаль
     
  15. exT1ma4ka

    exT1ma4ka New Member

    Joined:
    12 May 2010
    Messages:
    44
    Likes Received:
    2
    Reputations:
    5
    вывода нет, только error based. типа:
    Code:
    OR (SELECT COUNT(*) FROM (SELECT 1 UNION SELECT 2)x GROUP BY MID(VERSION(), FLOOR(RAND(33)*2), 64))-- 
    Code:
    OR ExtractValue(1,concat(0x5c,(VERSION())))--
    в них файл не отображается, просто страница грузится в рабочем режиме.
     
  16. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    832
    Likes Received:
    805
    Reputations:
    90
    error-based тоже вывод)
    чтение файла можно и через boolean проверить конструкцией length(load_file('/etc/shells'))>0 , ну так, может когда пригодится

    файл кстати какой читал? может там open_basedir, если докрут известен - попробуй index.php прочитать
     
    _________________________
    crlf and exT1ma4ka like this.
  17. Gorev

    Gorev Level 8

    Joined:
    31 Mar 2006
    Messages:
    2,594
    Likes Received:
    1,242
    Reputations:
    273
    читай конфиги сервера, ищи полный путь до сайта, читай конфиги сайта (возможно есть пхпмайадмин), может на соседних сайтах есть пхпмайадмин, записывай через пыху шелл, может возможно удаленное подключение к мускулю.
     
    exT1ma4ka likes this.
  18. exT1ma4ka

    exT1ma4ka New Member

    Joined:
    12 May 2010
    Messages:
    44
    Likes Received:
    2
    Reputations:
    5
    пути известны.
    /../../public_html/configuration.php (joomla)
    результат не виден. просто рабочая страница. даже если имя файла в запросе изменить на неправильное.

    но опять таки, внутри LOAD_FILE(тут) - мне приходится конструкцию с путями и кавычками писать в hex, ибо ' фильтруются.
     
  19. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    148
    Likes Received:
    402
    Reputations:
    103
    Вместо INTO OUTFILE можно использовать INTO DUMPFILE.
     
    exT1ma4ka likes this.
  20. karkajoi

    karkajoi Active Member

    Joined:
    26 Oct 2016
    Messages:
    233
    Likes Received:
    109
    Reputations:
    1
    Такой вопрос, пытаюсь поднять backconnect ,но не работает ни С и perl python скрипты, то есть 0 на массу при попытке соединения, но если пробую через php скрипт соединения появлсятся и сразу пропадает , netcat ставлю с таками параметрами -lvnp 443 -lvp 443 ( пробовал разные порты, смотрел какие порты открыты на сервере), но всеравно результат один и тот же, соединение появляется и сразу netcat вылетает. В какую сторону копать?
    Вот модули что есть на серве
    Code:
    Loaded Apache modules: core, itk, http_core, mod_so, mod_auth_basic, mod_auth_digest, mod_authn_file, mod_authn_alias, mod_authn_anon, mod_authn_dbm, mod_authn_default, mod_authz_host, mod_authz_user, mod_authz_owner, mod_authz_groupfile, mod_authz_dbm, mod_authz_default, util_ldap, mod_authnz_ldap, mod_include, mod_log_config, mod_logio, mod_env, mod_ext_filter, mod_mime_magic, mod_expires, mod_deflate, mod_headers, mod_usertrack, mod_setenvif, mod_mime, mod_dav, mod_autoindex, mod_info, mod_dav_fs, mod_vhost_alias, mod_negotiation, mod_dir, mod_actions, mod_speling, mod_userdir, mod_alias, mod_substitute, mod_rewrite, mod_proxy, mod_proxy_balancer, mod_proxy_ftp, mod_proxy_http, mod_proxy_ajp, mod_proxy_connect, mod_cache, mod_suexec, mod_disk_cache, mod_cgi, mod_version, mod_php5, mod_apreq2, mod_rpaf, mod_perl
    
    И 2й вопрос, если я успешно получаю рут права как мне сделать шел что б запускался от рута, а не от apacha?
     
Loading...