Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. AngelEyes

    AngelEyes New Member

    Joined:
    20 Jun 2019
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Если это ответ,то можно поподробней=)
     
  2. AngelEyes

    AngelEyes New Member

    Joined:
    20 Jun 2019
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Пара разных пейлоадов,пробовал через оба,но итог один и тот же
     
  3. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
  4. RWD

    RWD Member

    Joined:
    25 Apr 2013
    Messages:
    157
    Likes Received:
    41
    Reputations:
    2
    ищи скули с вектором error based/Union если тебе слить нужно базу пользователей, через слепую сливать смысла нет. Проверяй файлы, POST/GET запросы, скрытые папки, всегда есть надежда на то что есть.
     
  5. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Не т, не защитит опенСервер. Он вообще для другого. Остальной текст я не понял.
     
  6. Br@!ns

    Br@!ns Elder - Старейшина

    Joined:
    3 Sep 2010
    Messages:
    916
    Likes Received:
    120
    Reputations:
    25
    Нужно залиться в магенто2 не самой свежей версии. Имея админку, пхпмуадмин с корректными данными, локальную читалку, и стандартный набор модулей, есть какие нибудь варианты?
     
  7. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    506
    Likes Received:
    101
    Reputations:
    25
    Есть сайт на Laravel есть вроде XSS хранимая, <b> и другие теги пропускает а <script> меняет на [removed] пробовал много векторов, помогите приватно
     
  8. b3

    b3 Banned

    Joined:
    5 Dec 2004
    Messages:
    2,170
    Likes Received:
    1,155
    Reputations:
    202
  9. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    506
    Likes Received:
    101
    Reputations:
    25
  10. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Вроде можно без скрипт вызвать алерт
     
  11. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    506
    Likes Received:
    101
    Reputations:
    25
    Есть XSS но этот URL Encode все портит, что можно сделать?
    URL: https://site/news/asd?fbclid='-alert(1)//
    Code:
    onclick="Share.vk('https://site/news/asd?fbclid=%27-alert(1)//')"
     
  12. none222

    none222 Guest

    Reputations:
    0
    ^^^^^^^^^^^^^^^^^^^^^###^^^^^^^^^^
    ^^^^^^^^^^^^^^^^#####^^^^####^^^^^^
    ^^^^^^^^^^^^^^#^#^#^^^^#^^^^^#^^^^^
    ^^^^^^^^^^^^^#^#^^#^^#^^^^^#^^#^^^^
    ^^^^^^^^^^^^^#^#^#^#^#^^^##^^^#^^^^
    ^^^^^^#^^^^^#^^^#^#^#^####^^^#^^^^^
    ^^^^^^##^^^^#^^^#^#^^^^#^^^#^#^^^^^
    ^^^^^^###^^^^#^^^#^#^^^#^^#^^^#^^^^
    ^^^^^^#####^^^#^^#^^#^^##^^^^^#^^^^
    ^^^^^^^#####^^^############^^##^^^^
    ^^^^^^^^^^##^^^^##^^^^######^^^^^^^
    ^^^^^^^^^^^##^^###^####^^^^^^^^^^^^
    ^^^^^^^^^^^#####^^^^^^^^^^^^^^^^^^^
    ^^^^^^^^^^###^^^^####^^^^^^^^^^^^^^
    ^^^^^^^^^##^^^^^^^#####^^^^^^^^^^^^
    ^^^^^^^^##^^^^^^^^^^####^^^^^^^^^^^
    ^^^^^^^##^^^^^^^^^^^^###^^^^^^^^^^^
    ^^^^^^##^^^^^^^^^^^^^^^#^^^^^^^^^^^
     
    #2652 none222, 21 Jul 2019
    Last edited by a moderator: 6 Nov 2020
  13. Baskin-Robbins

    Baskin-Robbins Reservists Of Antichat

    Joined:
    15 Sep 2018
    Messages:
    239
    Likes Received:
    809
    Reputations:
    212
    проскань подсеть на 1433 порт но это не факт
    раз есть возможность выполнять команды - пропингуй себя в логах потом смотри ip(тоже не точно)
    можно залить обратный шелл и никуда обращаться не нужно будет - тоже не факт
    можно попробовать прочитать скрипты, там должна быть инфа для подключения к базе(а может и нет)
     
    #2653 Baskin-Robbins, 22 Jul 2019
    Last edited: 22 Jul 2019
    seostock likes this.
  14. BenderMR

    BenderMR Member

    Joined:
    23 Feb 2019
    Messages:
    65
    Likes Received:
    25
    Reputations:
    10
    Подскажите как обойти mod security для LFI
    Code:
    http://www.manyforex.com/page.php?X=....//etc/passwd&C=ID-000013&Y=ID-00001223&Z=Particular&Q=MANYForex
     
  15. BenderMR

    BenderMR Member

    Joined:
    23 Feb 2019
    Messages:
    65
    Likes Received:
    25
    Reputations:
    10
    Есть интересный скуль, но когда пробую вытянуть таблицы выдается ошибка, что у юзера бд нет прав:
    Code:
    SELECT command denied to user 'user'@'localhost' for table 'tables'
    Кто то сталкивался с таким? Eсть ли какие то варианты продвинуться дальше?
     
  16. none222

    none222 Guest

    Reputations:
    0
    ^^^^^^^^^^^^^^^^^^^^^###^^^^^^^^^^
    ^^^^^^^^^^^^^^^^#####^^^^####^^^^^^
    ^^^^^^^^^^^^^^#^#^#^^^^#^^^^^#^^^^^
    ^^^^^^^^^^^^^#^#^^#^^#^^^^^#^^#^^^^
    ^^^^^^^^^^^^^#^#^#^#^#^^^##^^^#^^^^
    ^^^^^^#^^^^^#^^^#^#^#^####^^^#^^^^^
    ^^^^^^##^^^^#^^^#^#^^^^#^^^#^#^^^^^
    ^^^^^^###^^^^#^^^#^#^^^#^^#^^^#^^^^
    ^^^^^^#####^^^#^^#^^#^^##^^^^^#^^^^
    ^^^^^^^#####^^^############^^##^^^^
    ^^^^^^^^^^##^^^^##^^^^######^^^^^^^
    ^^^^^^^^^^^##^^###^####^^^^^^^^^^^^
    ^^^^^^^^^^^#####^^^^^^^^^^^^^^^^^^^
    ^^^^^^^^^^###^^^^####^^^^^^^^^^^^^^
    ^^^^^^^^^##^^^^^^^#####^^^^^^^^^^^^
    ^^^^^^^^##^^^^^^^^^^####^^^^^^^^^^^
    ^^^^^^^##^^^^^^^^^^^^###^^^^^^^^^^^
    ^^^^^^##^^^^^^^^^^^^^^^#^^^^^^^^^^^
     
    #2656 none222, 5 Aug 2019
    Last edited by a moderator: 6 Nov 2020
  17. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    506
    Likes Received:
    101
    Reputations:
    25
    Чеп прикрыть USB технике что в офисе, не разбирая, не испортив?
     
  18. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    506
    Likes Received:
    101
    Reputations:
    25
    Где найти нормальной информации про защиту инфы в компаний?
     
  19. RWD

    RWD Member

    Joined:
    25 Apr 2013
    Messages:
    157
    Likes Received:
    41
    Reputations:
    2
    пообщаться с опытным CISO большой компании.
    на линкедине полно контактов.
     
  20. AngelEyes

    AngelEyes New Member

    Joined:
    20 Jun 2019
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Подскажи плз тампер для обхода этого ваф WAF/IPS identified as 'ASP.NET RequestValidationMode (Microsoft)
    а то при сливе выдает:

    | Email | LoginPassword |
    +-------+---------------+
    | NULL | NULL |
    | NULL | NULL |
    | NULL | NULL |
    | NULL | NULL |
    | NULL | NULL |
    | NULL | NULL |
    | NULL | NULL |
    | NULL | NULL |
    скажи,что может мешать WAF.Буду благодарен и за другие советы по этой проблемке
    P.S новичок в этом,если не затруднит,то можно развернутый ответ для "особо одаренных" =))