Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   PHP, PERL, MySQL, JavaScript (https://forum.antichat.xyz/forumdisplay.php?f=37)
-   -   Есть возможность SQL-inj, что дальше? (https://forum.antichat.xyz/showthread.php?t=27315)

cop 16.11.2006 00:31
Есть возможность SQL-inj, что дальше?
 
Нашел дыру в одном солидном сайте. Определил две таблицы, одна из которых юзеров (чего определил, називались они замудренно, ели подобрал). Узнал пароль админчега, сразу проверил к ФТП и базе, не подошло. Вот и все, выборкой только и балуюсь, пароль админа ничего не дал (админку найти не удалось). Вопрос, что можно сделать дальше? Что-то серьезно можно придумать*
Версия мускула 4.1
Load_file не работает

благодарю за любые советы-помощь.

pop_korn 16.11.2006 00:36
глянь robots.txt, может там путь к админке или проскать с помощью nikto

cop 16.11.2006 00:48
rotots.txt отсутствует...
никто ничего хорошо не нашел :(

guest3297 16.11.2006 05:10
Версия 1 найти админку.

Goudini 16.11.2006 18:42
- Пробовать получить пароль рута с таблици mysql
- Пробовать залить шелл через sql

На то и другое прав может не хватить.
Если пароль админа есть, то он его где-то должен вводить, ищи..

cop 16.11.2006 19:04
[ cash ]
ищу и бруты не помогают, слабенькие словари у меня :(

Goudini
1. проверил, нет доступа
2. нет возможности, кавычки инкриментируються (или как там) :) - или может как-то обойти эту фигню? char не помогает...


Время: 16:36