вообще-то путь к шеллу http://ххх.ххх.ххх.ххх/shell.php на самом деле длинный, я его просто сократил, возможно .htaccess должен быть не в папке с шеллом, а в корневой... Что-то я совсем запутался.... Выходит, .htaccess как раз и нужен для редиректа, на ххх.ххх.ххх.ххх/ я его не нашел
Это сплоит для старой версии, и там достаточно заюзать конструкцию по типу ';eval($_GET[e]);// и сохранить конфиг
инклуд или просто читалка? хелп ми,гайс... Url: http://site.com/index.php?thumbnail={code} или http://site.com/index.php?download={code} кусок кода для этих 2 параметров: Code: if ($_GET["thumbnail"]!="") { GLOBAL $thumbnailHeight, $cacheThumbnails; $thumbnailCacheSubdir = ".snifthumbs"; $file = safeDirectory(urldecode($_GET["thumbnail"])); doConditionalGet($_GET["thumbnail"],filemtime($file)); $thumbDir = dirname($file)."/".$thumbnailCacheSubdir; $thumbFile = $thumbDir."/".basename($file); if ($cacheThumbnails) { if (file_exists($thumbDir)) { if (!is_dir($thumbDir)) { $cacheThumbnails = false; } } else { if (@mkdir($thumbDir)) { chmod($thumbDir, "0777"); } else { $cacheThumbnails = false; } } if (file_exists($thumbFile)) { if (filemtime($thumbFile)>=filemtime($file)) { Header("Location: ".dirname($_SERVER["PHP_SELF"])."/".$thumbFile); die(); } } } $contentType = ""; $extension = strtolower(substr(strrchr($file, "."), 1)); switch ($extension) { case "gif": $src = imagecreatefromgif($file); $contentType="image/gif"; break; case "jpg": // fall through case "jpeg": $src = imagecreatefromjpeg($file); $contentType="image/jpeg"; break; case "png": $src = imagecreatefrompng($file); $contentType="image/png"; break; default: die(); break; } $srcWidth = imagesx($src); $srcHeight = imagesy($src); $srcAspectRatio = $srcWidth / $srcHeight; $maxAge = 3600; // one hour Header("Cache-Control: public, max-age=$maxAge, must-revalidate"); Header("Expires: ".createHTTPDate(time()+$maxAge)); if ($srcHeight<=$thumbnailHeight AND $srcWidth<=$thumbnailWidth) { Header("Content-Type: $contentType"); readfile($file); } else { if ($srcWidth > $srcHeight) { $thumbWidth = $thumbnailWidth; $thumbHeight = $thumbWidth / $srcAspectRatio; } else { $thumbHeight = $thumbnailHeight; $thumbWidth = $thumbHeight * $srcAspectRatio; } if (function_exists('imagecreatetruecolor')) { $thumb = imagecreatetruecolor($thumbWidth, $thumbHeight); } else { $thumb = imagecreate($thumbWidth, $thumbHeight); } imagecopyresampled($thumb, $src, 0, 0, 0, 0, $thumbWidth, $thumbHeight, $srcWidth, $srcHeight); Header("Content-Type: image/jpeg"); if ($cacheThumbnails) { imagejpeg($thumb, $thumbFile); chmod($thumbFile, "0777"); readfile($thumbFile); } else { imagejpeg($thumb); } } die(); } if ($_GET["download"]!="") { $download = stripslashes($_GET["download"]); $filename = safeDirectory($path.rawurldecode($download)); if ( !file_exists($filename) OR fileIsHidden($filename) OR (substr(strtolower($filename), -4)==".php" AND !$allowPHPDownloads)) { Header("HTTP/1.0 404 Not Found"); $displayError[] = sprintf(translate("File not found: %s"), $filename); } else { //doConditionalGet($filename, filemtime($filename)); Header("Content-Length: ".filesize($filename)); Header("Content-Type: application/x-download"); Header("Content-Disposition: attachment; filename=\"".rawurlencode($download)."\""); readfile($filename); die(); } } allow_url_fopen = On allow_url_include = Off file:/// - работает php://filter/convert.base64-encode/resource - работает php://input или data: - не получилось логи читает,однако php-код не выполняет(код виден только в исходнике страницы) возможен ли тут RFI или LFI?
Code: if ($_GET["thumbnail"]!="") { ... ... ... if ($cacheThumbnails) { imagejpeg($thumb, $thumbFile); chmod($thumbFile, "0777"); [COLOR=Red]readfile($thumbFile);[/COLOR] } else { imagejpeg($thumb); } } die(); } if ($_GET["download"]!="") { ... ... ... [COLOR=Red]readfile($filename);[/COLOR] die(); } } Читалки файлов. Большего из них не выжмешь.
BigBear,спс... в этой теме с readfile якобы можно получить веб-шелл...у меня так и не вышло... З.Ы. полный соурс этого файла в паблике есть оказывается) =>Линк<=
Тут я поторопился с выводом: на \\ххх.ххх.ххх.ххх\ развернут именно OpenVPN, собственно и положил я шелл на него просто через виртуальную сеть, получился путь "Сеть\\ххх.ххх.ххх.ххх\share\install\winrar\keygen\shell.php", видимо, поэтому браузер и подхватывает его через протокол "file://", если обратиться напрямую к адресу http://ххх.ххх.ххх.ххх/ (или любому подкаталогу), происходит редирект на целевой сайт http://site/, как я и писал, при этом ip целевого сайта другой. При этом я точно знаю, что админ у виртуальной сети и целевого сайта один и тот-же, но не могу быть уверенным, что они подняты на одной машине. Как можно это выяснить? Может, в такой ситуации, я вообще не смогу запустить шелл? Спасибо
Изучай вниматильней мануалы P.S: у вас там файловые привилегии, раскрытие путей, есть папки для запеси, шелл отлично льется!
Кто-нибудь знает, чем можно открыть файлы .MYD.MYI.frm в удобном оконном интерфейсе? Как-то неохота через командную строку работать (не зная команд mysql) Спасибо
Спасибо, а можно чуть подробнее: я качаю денвер, устанавливаю его, получив локалхост, загружаю в него полученные файлы БД... А дальше? phpmyadmin - это примочка денвера? Как ее запустить?
Здравствуйте, решил приобщиться к SQLi(первый день) и назрел такой вот вопрос: почему при зупросе http://bkp.bel-bkp.ru/site.php?id=165668-1%20union%20select%201%20-- ошибка, а при http://bkp.bel-bkp.ru/site.php?id=165668-1%20group%20by%201%20-- нормально все? Вроде ж 0 столбцов быть не может, а если бы было больше 1, то group by выдало ошибку. Заранее благодарен.
1.Потому что с помощью group by мы подбираем количество колонок и он будт выводить тебе инфу до тех пор пока ты не превысишь этот лемит, т.е в твоем случае всего колоно 25 и свыше этого числа уже будет выводиться ошибка. 2. спомощью union select ты можешь вывести принтабельные поля, что облегчает нам дальнейшее проникновение, 3. Изучите данные раздел, синтаксисы запросов, там все по полочкам расписано https://forum.antichat.ru/thread43966.html
Спасибо за ответ, именно по этому руководству и учился. Там оказывается в пункте, посвященном group by, в объяснении первого примера ошибка.
Товарищи, прошу помощи с SQL injection. Сервер отвечает так: Цветом выделена моя инъекция. Я так понимаю, он не может найти таблицу `admin` потому что мой запрос попал в INNER JOIN, верно? Как можно обойти?
Это локальный сервер. К сожалению, нет возможности скинуть линк, ибо он получится вида http://192.168.x.x/script.php
Получилось, вижу пользователей, хеши в md5(phpbb3) и соль, но подозреваю, что соль могла не применяться, можно как-то по хешам определить, посолены они, или нет? И еще вопрос: не нашел сетевых ресурсов расшифровки именно md5(phpbb3)-хешей, может у кого есть на примете? Локально пока остановился на Extreme GPU Bruteforcer, у меня печ560, вроде-бы это лучшее решение, он может сразу обрабатывать файл с паролями и файл с хешами. Как теперь извлечь столбец с хешами из БД в текстовый файл? Там около пятисот значений, так что вручную не осилю. Спасибо
