Всем привет!
Возникла проблема с sql inj в privetparis.com
Вот пример иньекции http://privetparis.com/afisha/organizator.php?organizator_id=4+union+select+1,2, 3,4,5,6,7/*
На сервере стоит форум vBulletin - у него сесть стаблица со стандартным именем `user` - но http://privetparis.com/afisha/organizator.php?organizator_id=4+union+select+1,2, 3,4,5,6,7+from+user/* не работет. Понятно что `user` на что-то заменили.
Собственно - помогите с угадыванием :)

Кроме таблицы news ничего не нашел :)))

В vBulletin Помойму не user а nukeuser

Не... user точно есть - я сурс смотрел...

Еще нашел photos, afisha

А вот в новостях нашел "ДАТУ" ))

http://privetparis.com/afisha/organizator.php?organizator_id=4+union+select+1,da ta,3,4,5,6,7%20from%20news%20where%20id=407/*

хех... photos, news всё это абсолютно не поможет. нада подобрать имя таблицы юзеров

Таблицы юеров чего? Форума? дык ведь они на раных доменах... И не используют одну БД

На разных - да. Но кто тебе сказал что они используют разную базу? forum.privetparis.com - privetparis.com для forum.privetparis.com только виртуальный домен. Поэтому вполне может быть и одна база...

forum.privetparis.com - privetparis.com для forum.privetparis.com


Конечно, я даже могу сказать на 80% там так
/home/privetparisc - для privetparis.com
/home/privetparisc/forum - для forum.privetparis.com и privetparis.com/forum

но одну базу... это врядли

2 Kez : надежда... будем надеяться умерает последней=)
зарывайте тему

Ну блин может даже и испольует... , то какое имя таблицы юверей? Может раработчик поставил "Tablitsauserovmlya" ... Я даю 100%, что Чат, а темболее форум сидят на разных БД

Да я для этого тему и замутил... чтоб помогли угадать! Может люди с большим опытом помогли бы мне.

Мля говорюже, что На Этой БД скорее всего нет полезной ИНФЫ (Паролей и т.д.)

А я тебе повторяю что возможен вариант совпадения баз - можно было бы достать таблицу форума. Уже попросил чтоб тему закрыли. Нельзя так нельзя