Касательно select without from: http://www.firebirdfaq.org/faq30/ Дабы не гадать по комментариям, можно опереться на другие признаки. Целевой хост по портам сканировали? select version() делали? Часто субд выбирают вместе с операционкой. Ос на цели какая? Скрипты, которые к субд обращаются самописные\платные\паблик? Какой интерпретатор, веб-сервер? В конце концов, можете попробовать зарядить скулю на софт, который может делать фингерпритинг субд. Тот же sqlmap это может, если не путаю.
nmap определил как Linux. Но это ни о чём не говорит - скрипт на целевом хосте может легко коннектится к БД на другом сервере. Скрипты платные. PHP, Apache. Спасибо за подсказку про sqlmap. Но, судя по всему, это какая-то специфичная/малораспространённая в веб-проектах СУБД.
Может, конечно, да редко бывает. Например, совсем не часто увидишь php+ubuntu+nginx+apache -> mssql. 1) version(); ? 2) sqlmap output? 3) nmap -sV -p 0-65535 <target>? 4) cms? Подозреваю, ответы на эти вопросы позволят однозначно идентифицировать вашу субд.
Немного странный вопрос: К примеру есть насайте LFI. Может ли быть такое что никак совсем ничего не сделать кроме как читать и инклудить файлы которые уже есть? Или настоящий про всегда найдет способ залить шелл? Подскажите ещё норм фаззер с хорошей базой для поиска файлов(php конфигов, логов nginx,etc)
как вариант- найти путь до логов сервера и послать ему пакет с php-кодом в User-Agent и потом проинклудить этот лог
Нашел nginx.conf В нём записи Code: #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #access_log logs/access.log main; Если это абсолютный путь то я вообще ничего не понимаю Code: ../../../../etc/passwd%00 -работает Code: ../../../../logs/error.log%00 ../../../../logs/access.log%00 -неработает Идём далие Code: ../../../../proc/self/environ%00 - выдает мне всего одну строку причём всегда. Code: SSH_CLIENT=%ТУТ БЫЛ ЧЕЙТО IP% 49719 21012
Как подсказывает шарп в начале строки, это комментарии в конфиге. К тому же, nginx как правило проксирует апач рядом, который тоже ведет логи. И собственно, в чем вопрос?
Извиняюсь за наверно банальный и многократно заезженный вопрос. Я пробую гуглить его сам, но на тот случай, если уже есть что-то простое, был бы рад услышать. Все та же история с сервером. Если сократить ее, есть основной сервер, где я могу лишь читать открытые файлы, и есть тестовый (физически, они разные), где есть достаточно точная копия сайта с основного (нужных уязвимостей не удалось найти), и на этом сервере мне удалось залить php шелл, плюс на обоих серверах стоит webmin и есть основание предполагать, что у них есть общая пара логин/пароль без привязки по айпи (иными словами, предполагаю, что добыв лог/пасс с тестового, я смогу его задействовать на основном). Так вот, насколько я понял, webmin для авторизации использует данные из shadow файла, который прочесть из-под apache пользователя, под которым работает шелл, нельзя, но очень нужно. Что можно попробовать предпринять в данной ситуации, есть ли какие-нибудь эксплоиты для его чтения? Главная цель - залить шелл на основной сервер.
Да, насчет поднятия прав логично, вопрос в способах поднятия прав (наверно стоило прямо спросить про поднятия, но оставил в общем виде на случай, если это не единственный способ прочесть рутовый файл). Есть ли что-то, на что стоит обратить внимание, что вероятно сработает? UPD: забыл уточнить. Само по себе линукс ядро на сервере достаточно старое (2.6.18), и эксплоитов, как я понял, на него достаточно много. Дилемма в том, что некоторые эксплоиты наверно не совместимы с php шеллом (т.е. я опасаюсь, что при попытке запустить эксплоит, шелл либо повиснет вместе с апачем, либо рут запустится отдельным процессом - такого рода). Всякий ли рабочий экплоит с повышением прав подойдет? UPD2: ок, я стормозил (верней, я не знал), в шелле можно через back-connect подключиться к серверу по терминалу, так что вопрос теперь лишь непосредственно в повышении привилегий любым эксплоитом.
Помогите раскрутить: Code: cafe.funizen[antigoogle]com/sub/customer/news.html?keyword=&ktype=&pageID=%5c или cafe.funizen[antigoogle]com/sub/customer/improvement_view.html?board_seq=\
POST http://cafe.funizen.com/sub/member/login_ok.html Code: m_id=%5c'or(select 1 from(select max(rand(0))from(information_schema.tables)group by concat(user(),version(),hex(rand(0))))aa)-- w&m_pwd=qwrqw
Такой вопрос - на админке сайта стоит фильтр по айпи, через .htaccess и в РНР коде. Прогуглив вопрос о попытках подмены айпи, народ как правило говорил, что айпи поменять конечно можно, но тогда и сервер будет слать ответ на поддельный айпи. Так вот, вопрос в том, возможно ли при таком раскладе, подменив айпи на подходящий, в одностороннем порядке отправить запрос на аплоад файла? Т.е. мне вобщем-то не нужен ответ от сервера, если он просто молча зальет к себе шелл, благо доступ к залитому файлу ничем не будет ограничен. Такой вариант возможен? Или из-за процедуры инициализации соединения, механики аплоада или чего-то подобного это нереально?
При установке соединения с сервером, можно указать абсолютно любой ип, хоть пентагона или гугла, для этого в tcp пакете отведены определенные байты для указания ип источника, дабы потом ему отправить ответ, только вот после того, как вы пошлете ему пакет с флагом syn, он ответит тому, кто его якобы отправил, но тот, кто его отправлял естественно не примет этот пакет и соединение даже не установится, не говоря уже про посылку каких-либо данных по нему.)
