HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Перезагрузить страницу SQL-inj, FILE_LOAD Запрещен.
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

SQL-inj, FILE_LOAD Запрещен.
  #1  
Старый 20.12.2006, 01:13
cop
Познающий
Регистрация: 14.11.2006
Сообщений: 66
С нами: 10257160

Репутация: 5
По умолчанию SQL-inj, FILE_LOAD Запрещен.
Сайт использует базу просто как средство хранения данных, таблицы с пользователями там нет, админка защищена через basic auth. Также нет прав подгружать файлы. Кавычки инкрементируються.
Версия мускула 4.1.* дальше не брутил...

Сообственно вопрос: что можно еще узнать/сделать с помощью этой дырЫ (базу и имя пользователя я уже узнал)?
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием

  #2  
Старый 20.12.2006, 01:21
_Great_
Флудер
Регистрация: 27.12.2005
Сообщений: 2,372
С нами: 10721066

Репутация: 4360


По умолчанию
Доступ к mysql.user есть?
 
Ответить с цитированием

  #3  
Старый 20.12.2006, 01:47
cop
Познающий
Регистрация: 14.11.2006
Сообщений: 66
С нами: 10257160

Репутация: 5
По умолчанию
забыл написать, нету
 
Ответить с цитированием

  #4  
Старый 20.12.2006, 03:18
p-range
Участник форума
Регистрация: 05.02.2006
Сообщений: 168
С нами: 10663526

Репутация: 715
По умолчанию
попробуй через char() выполнить LOAD_FILE()...
 
Ответить с цитированием

  #5  
Старый 20.12.2006, 09:48
_Great_
Флудер
Регистрация: 27.12.2005
Сообщений: 2,372
С нами: 10721066

Репутация: 4360


По умолчанию
Цитата:
Сообщение от p-range  
попробуй через char() выполнить LOAD_FILE()...
Вот:
Цитата:
Сообщение от cop  
Также нет прав подгружать файлы.
 
Ответить с цитированием

  #6  
Старый 20.12.2006, 09:58
Macro
Постоянный
Регистрация: 11.11.2006
Сообщений: 595
С нами: 10261766

Репутация: 1079


По умолчанию
Цитата:
Сообщение от cop  
Сообственно вопрос: что можно еще узнать/сделать с помощью этой дырЫ
Скорее всего можно удалить эту базу данных А еще, можно поискать таблицы пользователей подотошнее. Могут найтись, если на сайте есть какие-то скрипты с пользователями, кроме админки.
 
Ответить с цитированием

  #7  
Старый 20.12.2006, 15:09
vmn
Познающий
Регистрация: 16.10.2006
Сообщений: 82
С нами: 10299266

Репутация: 33
По умолчанию
Цитата:
Сообщение от Macro  
Скорее всего можно удалить эту базу данных А еще, можно поискать таблицы пользователей подотошнее. Могут найтись, если на сайте есть какие-то скрипты с пользователями, кроме админки.
На мускуле то удалить базу данных? Каким образом ты собрался это делать.
 
Ответить с цитированием

  #8  
Старый 20.12.2006, 18:29
Macro
Постоянный
Регистрация: 11.11.2006
Сообщений: 595
С нами: 10261766

Репутация: 1079


Talking
Цитата:
Сообщение от vmn  
На мускуле то удалить базу данных? Каким образом ты собрался это делать.
"DROP DATABASE" [name | name expression]

name
The name of the databse.
 
Ответить с цитированием

  #9  
Старый 20.12.2006, 18:45
SQLHACK
Голос разума
Регистрация: 27.09.2006
Сообщений: 529
С нами: 10326626

Репутация: 1617


По умолчанию
Цитата:
Сообщение от Macro  
"DROP DATABASE" [name | name expression]

name
The name of the databse.
Задвинул блин ой не могу
 
Ответить с цитированием

  #10  
Старый 20.12.2006, 20:27
vmn
Познающий
Регистрация: 16.10.2006
Сообщений: 82
С нами: 10299266

Репутация: 33
По умолчанию
Гага, это ты через инъекцию в mysql собрался делать?) Удачи. Несколько команд в одном запросе не поддерживаются.
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.