Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Пару вопросов по MySQL (https://forum.antichat.xyz/showthread.php?t=30184)

gadjet 29.12.2006 16:45
Пару вопросов по MySQL
 
Появилось пару вопросов по MySQL.
1)Подскажите, пожалуйста, как сделать into outfile если ковычки фильтруются.
2)И еще вопрос. Что значит, когда MySQL хэш начинается с символа *, например:
*0c8edba67ad54441ec587ffe9369cc9cb3dd6668
Заранее спасибо.

spider-intruder 29.12.2006 17:00
1)Подскажите, пожалуйста, как сделать into outfile если ковычки фильтруются.

попробовать into_outfile(CHAR(99, 58, 92, 116, 101, 109, 112, 92)) например

2)И еще вопрос. Что значит, когда MySQL хэш начинается с символа *, например:
*0c8edba67ad54441ec587ffe9369cc9cb3dd6668

У мускула поменялся алгоритм шифрования паролей....

guest3297 29.12.2006 17:08
1)Пробуй
LOAD_FILE(0x2f6574632f706173737764) (/etc/passwd)
LOAD_FILE(char(47,101,116,99,47,112,97,115,115,119 ,100)) (/etc/passwd)

Если не пашет значит у тебя нет привелегий на чтение значит и нету на запись...
И на юзера смотри чисто по аналогии можно предположить будут у него права или нет.

2)дай запрос который это выводит... и версию mysql.

p-range 29.12.2006 17:27
Цитата:
Подскажите, пожалуйста, как сделать into outfile если ковычки фильтруются.
Into otfile невозможен при включеной опции magic_quotes_gpc. Даже при криптовании запроса.

gadjet 29.12.2006 19:48
to [ cash ]: На сайте 4.1.10a-nt, запрос самый обычный, нечто вроде select password from mysql.user.

0x2f6574632f706173737764 -это, насколько я понимаю, шестнадцатеричная строка. Не подскажешь, где можно найти преобразователь обычной строки в шестнадцатеричную?

Lombardo 29.12.2006 20:20
Цитата:
Сообщение от gadjet
to [ cash ]: На сайте 4.1.10a-nt, запрос самый обычный, нечто вроде select password from mysql.user.

0x2f6574632f706173737764 -это, насколько я понимаю, шестнадцатеричная строка. Не подскажешь, где можно найти преобразователь обычной строки в шестнадцатеричную?
ёопт, на перле 2 строки накатать, минутное дело ;)

p-range 29.12.2006 20:56
вот простенький скрипт на php:
Код:
<?php
echo '<form method=post>';
echo '<input type="text" name="data" size="30"> <input type="submit"></form>';
if (isset($_POST['data']))
{
echo "<br><b>Результат:<br></b>";
$str = str_replace("%20", "", $_POST['data']);
for( $i = 0; $i < strlen($str); $i++)
{
        $hex = dechex(ord($str[$i]));
        if ($str[$i] == '&') echo "$str[$i]";
        else if ($str[$i]!='\\') echo "$hex";
}
}
exit;
?>

guest3297 29.12.2006 21:00
2gadjet
смотри SQL Hex + 0x :

gadjet 30.12.2006 15:09
И все же, неужели это действительно новый алгоритм шифрования MySQL? Кто-нить может ответить что-нибудь дельное по этому вопросу?

guest3297 30.12.2006 15:38
нет


Время: 02:05
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице