Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)

- - Sql os-shell (https://forum.antichat.xyz/showthread.php?t=478173)

В общем, как проверить в какие директории я могу залить файл? Есть один сайт, успешно обнаружил страницу которая позволяет читать файлы с сервера. Благодаря этому нашел модуль с sql инъекцией, обнаружил, что пользователь базы является рутом. Раскрыл почти все пути в каталоге с сайтом, исключение каталоги в которых хранятся всякие изображения и пдфки, но ни в один каталог запись успешна не была произведена. Сервер под управлением дебиана, апач 2.14, php 5.6. mysql

Я уж думал, что смогу войти в админку, думал, ща как вставлю через sql-shell свои данные и зайду, хрен, как прочитал оказывается эта фишка работает только на oracle и еще каком-то типе баз данных.

Хотел сбрутить пароль, но и тут странное штука меня ожидала, там очень странный способ шифрования паролей:

.SpoilerTarget" type="button">Spoiler: шифрование пароля

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][/COLOR]

Вроде как crc32 возвращает 10 символов, а в базе их 9

.SpoilerTarget" type="button">Spoiler: password

Код:

Code:

+------------+------------+------------+

| loginid    | type       | password   |

+------------+------------+------------+

| admin      | superadmin | 797024277  |

| superadmin | superadmin | 797024277  |

+------------+------------+------------+

В общем, что еще можно придумать? Я уже просто чисто из спортивного интереса хочу залить шелл, вздохнуть и со спокойной душой удалить его и пойти дальше. Уж слишком я дохрена времени на это потратил. Особенно квест с раскрыванием полного пути до сайта.

Цитата:

Сообщение от ivdos

ivdos said:
↑
В общем, как проверить в какие директории я могу залить файл? Есть один сайт, успешно обнаружил страницу которая позволяет читать файлы с сервера. Благодаря этому нашел модуль с sql инъекцией, обнаружил, что пользователь базы является рутом. Раскрыл почти все пути в каталоге с сайтом, исключение каталоги в которых хранятся всякие изображения и пдфки, но ни в один каталог запись успешна не была произведена. Сервер под управлением дебиана, апач 2.14, php 5.6. mysql
Я уж думал, что смогу войти в админку, думал, ща как вставлю через sql-shell свои данные и зайду, хрен, как прочитал оказывается эта фишка работает только на oracle и еще каком-то типе баз данных.
Хотел сбрутить пароль, но и тут странное штука меня ожидала, там очень странный способ шифрования паролей:
Spoiler: шифрование пароля

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][/COLOR]

Вроде как crc32 возвращает 10 символов, а в базе их 9
Spoiler: password

Код:

Code:

+------------+------------+------------+

| loginid    | type       | password   |

+------------+------------+------------+

| admin      | superadmin | 797024277  |

| superadmin | superadmin | 797024277  |

+------------+------------+------------+

CRC32 Возвращает контрольную сумму crc32 строки str в виде целого числа. Разве целые числа обязательно имеют 10 символов? Например для пароля "password" эта функция (EncPass("password")) выдаст целое 9-значное число 773276427. В принципе можно легко написать брутер, который бы нашёл подходящий пароль для значения 797024277.

Цитата:

Сообщение от fandor9

fandor9 said:
↑
CRC32
Возвращает контрольную сумму crc32 строки str в виде целого числа. Разве целые числа обязательно имеют 10 символов? Например для пароля "password" эта функция (EncPass("password")) выдаст целое 9-значное число 773276427. В принципе можно легко написать брутер, который бы нашёл подходящий пароль для значения 797024277.

Окей, просто я не вдавался в подробности работы crc32, тогда дело за малым. Пойду писать брут. Ну и судя по всему у базы данных вообще нет прав записи в директорию сайта, такое же может быть?

Цитата:

Сообщение от ivdos

ivdos said:
↑
Окей, просто я не вдавался в подробности работы crc32, тогда дело за малым. Пойду писать брут. Ну и судя по всему у базы данных вообще нет прав записи в директорию сайта, такое же может быть?

Может быть прописано значение secure_file_priv ?

А так если база данных работает с правами рута, тогда нет.

Цитата:

Сообщение от fandor9

fandor9 said:
↑
Может быть прописано значение
secure_file_priv
?

Хммм, а где это можно посмотреть? В information_schema есть таблицы SESSION VARIABLES и GLOBAL_VARIABLES, но они пустые.

Цитата:

Сообщение от ivdos

ivdos said:
↑
Хммм, а где это можно посмотреть? В information_schema есть таблицы SESSION VARIABLES и GLOBAL_VARIABLES, но они пустые.

Код:

Code:

SHOW VARIABLES LIKE "secure_file_priv";

Нет. Что же, похоже я что-то не так делаю. Ну я серьезно уже во все пути потыкался. Что же, буду пароль брутить.

Цитата:

Сообщение от ivdos

ivdos said:
↑
Нет. Что же, похоже я что-то не так делаю. Ну я серьезно уже во все пути потыкался. Что же, буду пароль брутить.

у пользователя есть права на чтение/запись файлов?

Код:

Code:

SHOW GRANTS FOR @localhost;

Цитата:

Сообщение от fandor9

fandor9 said:
↑
у пользователя есть права на чтение/запись файлов?

Абсолютно точно да.

.SpoilerTarget" type="button">Spoiler

Код:

Code:[*] 'root'@'localhost' (administrator) [28]:

    privilege: ALTER

    privilege: ALTER ROUTINE

    privilege: CREATE

    privilege: CREATE ROUTINE

    privilege: CREATE TABLESPACE

    privilege: CREATE TEMPORARY TABLES

    privilege: CREATE USER

    privilege: CREATE VIEW

    privilege: DELETE

    privilege: DROP

    privilege: EVENT

    privilege: EXECUTE

    privilege: FILE

    privilege: INDEX

    privilege: INSERT

    privilege: LOCK TABLES

    privilege: PROCESS

    privilege: REFERENCES

    privilege: RELOAD

    privilege: REPLICATION CLIENT

    privilege: REPLICATION SLAVE

    privilege: SELECT

    privilege: SHOW DATABASES

    privilege: SHOW VIEW

    privilege: SHUTDOWN

    privilege: SUPER

    privilege: TRIGGER

    privilege: UPDATE

Ну я собственно уже сам пароль сбрутил 3573366413