Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. sinner-nah

    sinner-nah New Member

    Joined:
    10 Jan 2017
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Здрасте, есть такая идея. Возможно ли как то получить код на ок ру который отправляется при востановлении на телефон? ведь когда жмешь подтвердить код сравнение кодов идет может можно получить его хотя бы в зашифрованном виде а там уже проще будет что то придумать...
     
  2. brand29

    brand29 New Member

    Joined:
    9 Jan 2017
    Messages:
    32
    Likes Received:
    1
    Reputations:
    0
    время приключений с переводчиком
     
  3. dorosh88

    dorosh88 New Member

    Joined:
    27 Dec 2016
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    Вроде разобрался спс, но возникает другой вопрос из 6 сайтов проверенных, доступа к mysql.user ни у кого не оказалась, получается найти сервак с такой брешью практически не возможно??? и если это факт есть еще возможность заливки файлов через sql-inj??
     
  4. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Найти можно, не сказать что это очень часто бывает, но не эксклюзив. Без прав возможности залить шел нету
     
    dorosh88 likes this.
  5. dorosh88

    dorosh88 New Member

    Joined:
    27 Dec 2016
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    Ребят извините за назойливость, просто хочу поставить точки в своих нубских вопросах)) в общем вопрос с shell закрыт, вопрос 2й если есть доступ в админку, заливка только картинок, опять же пробы заливать с расш. *.php.jpg не проходят, и вписывать код в картинку (hexeditor) тоже не выходит, есть еще возможность обойти защиту?
     
  6. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    829
    Likes Received:
    815
    Reputations:
    90
    зависит от того как построена защита, механизмы защиты обычно определяются эмпирическим путём :) честно говоря у меня у самого пробелы по этому вектору, он такой древний, хотя и актуальный
    не картинкой единой, осмотритесь в админке, возможны инклуды например, или code injection в конфиг сайта
     
    _________________________
  7. SaNDER

    SaNDER Banned

    Joined:
    9 Jul 2015
    Messages:
    213
    Likes Received:
    15
    Reputations:
    3
    Первый раз с postgresql. CMS не знаю какая .
    В поле логин и пароль если поставить кавычку(при наличии других символов кроме самой кавычки) вылезает такая ошибка :
    Warning: pg_query(): Query failed: ERROR: column "int" does not exist LINE 2: ...d > 0 and access > 1 and login='1' and(1)=convert(int,@@vers... ^ in /home/www/ftp*****/data/www/******.***/adm/welcome.php on line 12

    Извините, база данных временно недоступна.( [-sct-] )
     
  8. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    829
    Likes Received:
    815
    Reputations:
    90
    эм
    convert(int
    заменить на
    convert('int'
    ?
    из доков функция convert ждет первым параметром сам текст, без кавычек соответственно он ищет такую колонку в таблице
    а зачем там такой треш с конвертом?
     
    _________________________
  9. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    829
    Likes Received:
    815
    Reputations:
    90
    прохожу один квест, такая ситуацию, опишу абстрактно
    отправляю на сервере строку "1", скрипт на сервере падает и в ошибке я вижу что "1" превратилось в строку "H"
    то есть происходит какое то преобразование xor или что то около того, попробовал методом тыка подобрать - не вышло
    возможно кому то известны утилиты которые могут определить/прогнать по списку различных преобразований и задетектить какой алгоритм используется?
     
    _________________________
  10. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    829
    Likes Received:
    815
    Reputations:
    90
    разобрался
    теперь другое, как то нужно в файл формата docx запихнуть php код(плейнтекстом, чтобы потом проинклудить), с тем учетом что docx по сути архив и на сервере файл валидируется что это именно docx.. никак не выходит
     
    _________________________
  11. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    попробуй echo '<?php phpinfo(); ?>' >> doc.docx
     
  12. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    829
    Likes Received:
    815
    Reputations:
    90
    пробовал, структура документа рушится, не пропускает в итоге валидатор на сервере..
    -------------
    пробовал открывать docx как архив и кидать туда файл с именем <?php phpinfo(); , тоже не пропускает

    по идее у архивов/docx должна быть метаинформация как exif у изображения, но найти нормальных доков не удалось, у мелкомягких такие доки и советы что плакать хочется
     
    _________________________
    #1632 t0ma5, 12 Jan 2017
    Last edited: 12 Jan 2017
  13. Shubka75

    Shubka75 Elder - Старейшина

    Joined:
    24 Sep 2015
    Messages:
    94
    Likes Received:
    57
    Reputations:
    30
    Через винрар открой docx, и в комментарии допиши <?php phpinfo(); ?>
    [​IMG]

    И в хекс редакторе комментарий будет в чистом виде
    [​IMG]
     
  14. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    829
    Likes Received:
    815
    Reputations:
    90
    да

    вот я тупой, спасибо, получилось
     
    _________________________
  15. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    829
    Likes Received:
    815
    Reputations:
    90
    помогите советом, в какую сторону копать
    есть фреймворк, сессия хранится в виде объекта -> серилизуется -> отправляется в куки
    при обращении соответственно сессия восстанавливается из куков обратным процессом
    сорцы есть(доступны по линку в конце поста), но никак не могу понять... флаг находится просто в переменной -_- (файл all.php), судя по тому что таск висит на отдельной виртуалке там явно есть выполнение команд
    есть такой код
    Code:
    switch ($type) {
                    case 'function':  return $this->realObject->$target();
                    case 'property':  return $this->realObject->$target;
                
                    default:
                        $debug->show("Unknown property type $type.");
                }
    
    пробовал template injection в type - не прокатило.. голову уже сломал :(
    линк кому интересно
    http://ctf:[email protected]:10001/

    --------------------------------

    кажется нащупал, есть некая функция в классе дебага Debug.class.php

    Code:
    public function showNice($obj) {
            Debug::show(var_dump($obj));
        }
    
    может быть её можно вызвать и передать ей нужную переменную с флагом..
     
    _________________________
    #1635 t0ma5, 16 Jan 2017
    Last edited: 16 Jan 2017
  16. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    231
    Likes Received:
    601
    Reputations:
    145
    Это крутой таск. Убился об него, вспоминать не хочется.

    Даже не знаю, как дать подсказку.
    1) Пользовательские данные в unserialize.
    2) В GenericMapper (class GenericMapper implements ArrayAccess) можно к объекту обращаться, как к массиву и через map можно обратиться к произвольной функции или свойству объектов.
    3) в $type загнать флаг (Debug->getDebugState)
    4) и вывести в $debug->show("Unknown property type $type.")

    Это не полная цепочка, только направление.

    Удачи и терпения.
     
    t0ma5 likes this.
  17. SaNDER

    SaNDER Banned

    Joined:
    9 Jul 2015
    Messages:
    213
    Likes Received:
    15
    Reputations:
    3
    Уязвимость ли это?
    На сайте *****.**/download.php?id=******&name="в этом параметре"
    набираю что угодно : например "blablalolo" и качает [*****.**]_blablalolo размеро 17,8 кб .
    Расширение файла неизвестно и чем открывать его тоже неизвестно .

    Мб я скачал download.php,токо толку от него?
     
  18. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    306
    Likes Received:
    138
    Reputations:
    33
    Попробуй
    /etc/passwd
     
    #1638 WallHack, 17 Jan 2017
    Last edited: 17 Jan 2017
  19. SaNDER

    SaNDER Banned

    Joined:
    9 Jul 2015
    Messages:
    213
    Likes Received:
    15
    Reputations:
    3
    Я такое пробовал,но как я понял он качает файл download.php,меняется лишь название?
    Дак вот .
    Я открыл с помощью Word'а . Там всякие кракозябры,в конце тоже что-то есть,но не придал этому значение,зато вначале есть что-то :
    http://*****.**/announce.php?passkey=тут какой-то хэш из 35 символов .
    При переходе выдаёт это :
    d14:failure reason24:Invalid info_hash (0 - )e
     
    #1639 SaNDER, 17 Jan 2017
    Last edited: 17 Jan 2017
  20. WallHack

    WallHack Elder - Старейшина

    Joined:
    18 Jul 2013
    Messages:
    306
    Likes Received:
    138
    Reputations:
    33
    Ну... Если бы он качал download.php, там был бы php код