Ваши вопросы по уязвимостям.

Обсуждение в разделе «Уязвимости», начал(-а) +, 27.04.2015.

  1. Vot0Ex

    Vot0Ex New Member

    Регистрация:
    20.05.2017
    Сообщения:
    4
    Одобрения:
    0
    Репутация:
    1
    Список публичных уязвимостей phpMyAdmin с 2001 года по сей день.
    http://www.cvedetails.com/product/1341/?q=Phpmyadmin
    Приватные уязвимости вряд ли кто станет палить)
     
  2. ACat

    ACat Member

    Регистрация:
    10.03.2017
    Сообщения:
    164
    Одобрения:
    30
    Репутация:
    0
    pma/Documentation.html помоему. или знак вопроса на форме входа.
    http://0day.today/search?search_request=phpmyadmin
     
  3. exT1ma4ka

    exT1ma4ka Member

    Регистрация:
    12.05.2010
    Сообщения:
    43
    Одобрения:
    3
    Репутация:
    3
    в sql-inj фильтруется слово OUTFILE. привилегии есть, иначе бы и спрашивать не стал. как поступить ?

    - конструкция /**/ внутри не работает, как и %0b, как и + и пробел.
     
  4. ms13

    ms13 Level 8

    Регистрация:
    19.06.2015
    Сообщения:
    1 133
    Одобрения:
    4 015
    Репутация:
    75
    Вывод, пожалуйста
     
  5. BabaDook

    BabaDook Member

    Регистрация:
    9.05.2015
    Сообщения:
    600
    Одобрения:
    558
    Репутация:
    37
    н
    нахуя оно тебе ?
     
  6. exT1ma4ka

    exT1ma4ka Member

    Регистрация:
    12.05.2010
    Сообщения:
    43
    Одобрения:
    3
    Репутация:
    3
    SELECT 1 INTO OUTFILE 0x272f6562616c2f74766f752f6d616d6b752f62726f2e74687827 - outfile фильтруется, не проходит.
     
  7. t0ma5

    t0ma5 Level 8

    Регистрация:
    10.02.2012
    Сообщения:
    573
    Одобрения:
    379
    Репутация:
    53
    'INTO OUTFILE' hex не воспринимает, недавно же это писали
     
    Это одобряет ACat.
  8. exT1ma4ka

    exT1ma4ka Member

    Регистрация:
    12.05.2010
    Сообщения:
    43
    Одобрения:
    3
    Репутация:
    3
    пусть. но вопрос всё равно открыт - как поступить, если OUTFILE фильтруется ? просто по-факту, ибо нигде на этот счёт не пишут. для развития.
     
  9. t0ma5

    t0ma5 Level 8

    Регистрация:
    10.02.2012
    Сообщения:
    573
    Одобрения:
    379
    Репутация:
    53
    если это тот же сайт, на котором даже урлдекода нет, но сомневаюсь что оно фильтруется, скорее всего прав на запись не хватает, проверь вообще работает ли оно(в /tmp по дефолту запись есть у всех)
    Code:
    select 'test' from(select 1)x INTO OUTFILE '/tmp/qqq'
    select load_file('/tmp/qqq')
    
    если не работает, то забить на этот вектор, искать другое
    хз ещё как апач/etc настроен, файл если и создастся - то из под юзера мускул, не факт что будет работать
     
  10. exT1ma4ka

    exT1ma4ka Member

    Регистрация:
    12.05.2010
    Сообщения:
    43
    Одобрения:
    3
    Репутация:
    3
    нет. на том нет mysql привилегий на запись, сейчас говорю о другом. и в данном случае ' фильтруются, поэтому приходится в hex переводить.
     
  11. t0ma5

    t0ma5 Level 8

    Регистрация:
    10.02.2012
    Сообщения:
    573
    Одобрения:
    379
    Репутация:
    53
    hex не катит, читай файлы сайта, может что интересное встретится
     
  12. BabaDook

    BabaDook Member

    Регистрация:
    9.05.2015
    Сообщения:
    600
    Одобрения:
    558
    Репутация:
    37
    Есть ещё пару вариантов, хотя с 0x272f6562616c2f74766f752f6d616d6b752f62726f2e74687827 нету вариантов, жаль
     
  13. exT1ma4ka

    exT1ma4ka Member

    Регистрация:
    12.05.2010
    Сообщения:
    43
    Одобрения:
    3
    Репутация:
    3
    вывода нет, только error based. типа:
    Code:
    OR (SELECT COUNT(*) FROM (SELECT 1 UNION SELECT 2)x GROUP BY MID(VERSION(), FLOOR(RAND(33)*2), 64))-- 
    Code:
    OR ExtractValue(1,concat(0x5c,(VERSION())))--
    в них файл не отображается, просто страница грузится в рабочем режиме.
     
  14. t0ma5

    t0ma5 Level 8

    Регистрация:
    10.02.2012
    Сообщения:
    573
    Одобрения:
    379
    Репутация:
    53
    error-based тоже вывод)
    чтение файла можно и через boolean проверить конструкцией length(load_file('/etc/shells'))>0 , ну так, может когда пригодится

    файл кстати какой читал? может там open_basedir, если докрут известен - попробуй index.php прочитать
     
    Это одобряют crlf и exT1ma4ka.
  15. Gorev

    Gorev Level 8

    Регистрация:
    31.03.2006
    Сообщения:
    2 518
    Одобрения:
    1 005
    Репутация:
    171
    читай конфиги сервера, ищи полный путь до сайта, читай конфиги сайта (возможно есть пхпмайадмин), может на соседних сайтах есть пхпмайадмин, записывай через пыху шелл, может возможно удаленное подключение к мускулю.
     
    Это одобряет exT1ma4ka.
  16. exT1ma4ka

    exT1ma4ka Member

    Регистрация:
    12.05.2010
    Сообщения:
    43
    Одобрения:
    3
    Репутация:
    3
    пути известны.
    /../../public_html/configuration.php (joomla)
    результат не виден. просто рабочая страница. даже если имя файла в запросе изменить на неправильное.

    но опять таки, внутри LOAD_FILE(тут) - мне приходится конструкцию с путями и кавычками писать в hex, ибо ' фильтруются.
     
  17. dooble

    dooble New Member

    Регистрация:
    30.12.2016
    Сообщения:
    11
    Одобрения:
    8
    Репутация:
    0
    Вместо INTO OUTFILE можно использовать INTO DUMPFILE.
     
    Это одобряет exT1ma4ka.
  18. karkajoi

    karkajoi Member

    Регистрация:
    26.10.2016
    Сообщения:
    46
    Одобрения:
    13
    Репутация:
    0
    Такой вопрос, пытаюсь поднять backconnect ,но не работает ни С и perl python скрипты, то есть 0 на массу при попытке соединения, но если пробую через php скрипт соединения появлсятся и сразу пропадает , netcat ставлю с таками параметрами -lvnp 443 -lvp 443 ( пробовал разные порты, смотрел какие порты открыты на сервере), но всеравно результат один и тот же, соединение появляется и сразу netcat вылетает. В какую сторону копать?
    Вот модули что есть на серве
    Code:
    Loaded Apache modules: core, itk, http_core, mod_so, mod_auth_basic, mod_auth_digest, mod_authn_file, mod_authn_alias, mod_authn_anon, mod_authn_dbm, mod_authn_default, mod_authz_host, mod_authz_user, mod_authz_owner, mod_authz_groupfile, mod_authz_dbm, mod_authz_default, util_ldap, mod_authnz_ldap, mod_include, mod_log_config, mod_logio, mod_env, mod_ext_filter, mod_mime_magic, mod_expires, mod_deflate, mod_headers, mod_usertrack, mod_setenvif, mod_mime, mod_dav, mod_autoindex, mod_info, mod_dav_fs, mod_vhost_alias, mod_negotiation, mod_dir, mod_actions, mod_speling, mod_userdir, mod_alias, mod_substitute, mod_rewrite, mod_proxy, mod_proxy_balancer, mod_proxy_ftp, mod_proxy_http, mod_proxy_ajp, mod_proxy_connect, mod_cache, mod_suexec, mod_disk_cache, mod_cgi, mod_version, mod_php5, mod_apreq2, mod_rpaf, mod_perl
    
    И 2й вопрос, если я успешно получаю рут права как мне сделать шел что б запускался от рута, а не от apacha?
     
  19. SaNDER

    SaNDER Member

    Регистрация:
    9.07.2015
    Сообщения:
    211
    Одобрения:
    15
    Репутация:
    3
    Нашёл на сайте Uploader по ссылке сайт/js/uploadify-2.3/ как-то так,неважно
    В заголовке написано Uplodify Test .
    При переходе видна лишь кнопка SELECT,заливаю shell пишет что загружено,
    Но точно ли он загружает или для виду,это же,типо тест...
    А если и загружает то куда,непонятно.Как узнать?

    И ещё вопрос я попал на FTP
    ftp://***-***-***-**.*****.******.***
    Могу всякие файлы читать,но файлов слишком много,аж лагает .
    Есть ли какие-нибудь программы для скана директорий FTP?
     
    #2019 SaNDER, 17.07.2017
    В последний раз редактировалось: 17.07.2017
  20. SooLFaa

    SooLFaa Level 8

    Регистрация:
    17.03.2014
    Сообщения:
    295
    Одобрения:
    258
    Репутация:
    91
    1) Брутить стандартные пути папки upload, images, avatrs и прочее у можно dirb'у скормить словарь. Второй потыкать форум на предмет FPD(Открытие пути файла), Третий, скачать фреймворк с паблика и посмотреть куда он льет по дефолту.
     
    Это одобряет ghost8.
Загрузка...