Старый 12.04.2013, 14:44   #2841
Faaax
 
Аватар для Faaax
 
Регистрация: 03.04.2012
Сообщений: 94
Репутация: 6
По умолчанию

Есть скуля,читаю файлы,могу писать файлы,но нет ни одной диры на запись кроме /tmp/
так вот можно ли как нить ещё залиться?
Faaax вне форума   Ответить с цитированием
Старый 12.04.2013, 18:51   #2842
Abadd0N
 
Регистрация: 04.11.2011
Сообщений: 29
Репутация: 0
По умолчанию

Цитата:
Характерная ошибка MySQL, однако данные в запрос не попадают, есть предположение что это и не SQL вовсе, а может просто у меня раскрутить не получилось, подскажите, можно ли данную SQL раскрутить, или это не SQL inj
Возможно передаваемая переменная приводится к числовому типу, по этому не попадает в запрос, т.к. вызывает ошибку преобразование типов.

Цитата:
Есть скуля,читаю файлы,могу писать файлы,но нет ни одной диры на запись кроме /tmp/
так вот можно ли как нить ещё залиться?
Только через мускул получается никак. Но есть другие варианты, к примеру к скуле найти какой нибудь (R/L)FI/Code exec.

Цитата:
но нет ни одной диры на запись кроме
Ты так уверенно говоришь о этом, у тебя есть листинги фс сервера?
Возможно стоит почитать конфиги веб сервера, смотреть, возможно ещё какие нибудь движки стоят, а там есть папки на записи...

Последний раз редактировалось Abadd0N; 12.04.2013 в 18:59..
Abadd0N вне форума   Ответить с цитированием
Старый 12.04.2013, 22:02   #2843
BigBear
 
Регистрация: 26.07.2012
Сообщений: 134
Репутация: 51
По умолчанию

Цитата:
Сообщение от Faaax Посмотреть сообщение
Есть скуля,читаю файлы,могу писать файлы,но нет ни одной диры на запись кроме /tmp/
так вот можно ли как нить ещё залиться?
Попробуй получить рута в MySQL через этот способ.

А дальше уже смотри по обстоятельствам, мож новые БД появятся с аутентификационными данными.
BigBear вне форума   Ответить с цитированием
Старый 13.04.2013, 09:16   #2844
Faaax
 
Аватар для Faaax
 
Регистрация: 03.04.2012
Сообщений: 94
Репутация: 6
По умолчанию

Цитата:
Abadd0N
Больше ничего нет.
Потому что знаю,был до этого шелл там и была одна папка на запись,сейчас увы она значит прикрыта.
Цитата:
BigBear
Жаль,но не помогло.

+ ещё при заходе на site/index.php и т.д. пхп'ные файлы сразу кидает на главную.

Последний раз редактировалось Faaax; 13.04.2013 в 09:49..
Faaax вне форума   Ответить с цитированием
Старый 15.04.2013, 11:31   #2845
Abadd0N
 
Регистрация: 04.11.2011
Сообщений: 29
Репутация: 0
По умолчанию

Конечно маловероятно, но попробуй проверить на запись диру с либами мускула, если есть права, есть рут, возможность выполнять стековые запросы и права на созадние udf (либо баженый мускул, чтоб подняться до рута), то можно получить выполнение системных команд.
Конечно такое весьма маловероятно, но вдруг у админа както случилась белая горячка и он дал права на запись в диру с либами
Abadd0N вне форума   Ответить с цитированием
Старый 20.04.2013, 18:55   #2846
Сергей Бардюр
 
Регистрация: 27.09.2012
Сообщений: 10
Репутация: 0
По умолчанию

Друзья, снова нужна ваша помощь в двух SQL иньекциях которые я не могу самостоятельно раскрутить, иньект первый:
Код:
http://www.***.**/login/remind')/**/union/**/select/**/1,2,3/**/--/**/1/
Это SQL, но есть сомнения по поводу возможности её раскрутить, так как он отрезает всё что длиннее 20 символов, возможно я не верно запрос составляю, и надо как то без спец символов, потому что например так:
Код:
http://www.***.**/login/remind')/**/union/**/select/**/1/111111111111111111111111111111111111111111111122222222/
Он ничего не укорачивает, а обычные SQL запросы укорачивает, возможно что раскрутить можно, поэтому друзья, прошу вашей помощи в раскрутке, и выводе информации на экран.

И вторая SQL:
Код:
http://***.**/index.php?bycity&cityid=1&filtercity&fcity=1&date_start=2013-11-01'&date_end=2013-11-31
Тут кавычка попадает бог знает куда, SQL то есть, но вот как вытащить информацию, когда запрос вообще совершенно непонятный, скорее всего двойной…
Тоже надеюсь на вашу помощь.

Последний раз редактировалось Jokester; 14.05.2013 в 15:24..
Сергей Бардюр вне форума   Ответить с цитированием
Старый 20.04.2013, 20:15   #2847
S00pY
 
Аватар для S00pY
 
Регистрация: 06.07.2010
Сообщений: 39
Репутация: 35
По умолчанию

Цитата:
Сообщение от Сергей Бардюр Посмотреть сообщение
Друзья, снова нужна ваша помощь в двух SQL иньекциях которые я не могу самостоятельно раскрутить, иньект первый:
Это SQL, но есть сомнения по поводу возможности её раскрутить, так как он отрезает всё что длиннее 20 символов, возможно я не верно запрос составляю, и надо как то без спец символов, потому что например так:

Он ничего не укорачивает, а обычные SQL запросы укорачивает, возможно что раскрутить можно, поэтому друзья, прошу вашей помощи в раскрутке, и выводе информации на экран.
blinde
(обрезается из за запятых, + как пробел не канает(остальное не пробовал), урл парсят по слешам )
true domen.com/login/remind')or(substring((version())FROM(1)FOR(1))=5)o r('1'='1/
false domen.com/login/remind')or(substring((version())FROM(1)FOR(1))=4)o r('1'='1/

Цитата:
Тут кавычка попадает бог знает куда, SQL то есть, но вот как вытащить информацию, когда запрос вообще совершенно непонятный, скорее всего двойной…
Тоже надеюсь на вашу помощь.
В этом же скрипте, в другом параметре - нормальная инъекция с выводом (union based)

Последний раз редактировалось S00pY; 20.04.2013 в 20:21..
S00pY вне форума   Ответить с цитированием
Старый 20.04.2013, 20:45   #2848
Сергей Бардюр
 
Регистрация: 27.09.2012
Сообщений: 10
Репутация: 0
По умолчанию

Цитата:
Сообщение от S00pY Посмотреть сообщение
В этом же скрипте, в другом параметре - нормальная инъекция с выводом (union based)
Спасибо тебе, не сочти за трудность, покажи в каком параметре эта раскручиваемая SQL, я так найти и не смог кроме второго числового параметра, но там тоже самое.
Сергей Бардюр вне форума   Ответить с цитированием
Старый 20.04.2013, 20:58   #2849
S00pY
 
Аватар для S00pY
 
Регистрация: 06.07.2010
Сообщений: 39
Репутация: 35
По умолчанию

Цитата:
Сообщение от Сергей Бардюр Посмотреть сообщение
Спасибо тебе, не сочти за трудность, покажи в каком параметре эта раскручиваемая SQL, я так найти и не смог кроме второго числового параметра, но там тоже самое.
Плохо искали, там много не фильтруемых параметров. Не стоит бездумно тыкать кавычку.


Цитата:
Сообщение от Воришко Посмотреть сообщение
.ru/news'/
никак не получается добиться вывода ни в ошибку не на экран в обоих случаях, помогите плиз.
true /news'and(select(if((substring(version(),1,1)=5),1, (select'1'union(select'2')))))='1 - redirect
false /news'and(select(if((substring(version(),1,1)=4),1, (select'1'union(select'2')))))='1 - ошибка
S00pY вне форума   Ответить с цитированием
Старый 23.04.2013, 00:24   #2850
Воришко
 
Регистрация: 17.03.2013
Сообщений: 17
Репутация: -7
По умолчанию

Имею читалку на одном сайте, нашёл такой кусок кода:
Код:
           global $link, $table_tov_descr, $name;
	$sql2 = "SELECT descr, image, smallimage, smimg_width, smimg_height  FROM tov_descr Where id=$_GET['img'] ";
	$res2 = mysql_query ($sql2, $link);
	$row2 = mysql_fetch_array($res2, MYSQL_ASSOC) ;
	if (mysql_num_rows($res2) ==0) return "";
	extract($row2);
Насколько я знаю, объявление глобальных переменных в сочетании с функцией extract() может привести к выполнению кода, в данном случае возможно ли как то выполнить произвольный php код? Если да, то подскажите как.
Воришко вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot