ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
17.07.2007, 13:18
|
|
Познающий
Регистрация: 09.07.2007
Сообщений: 42
Провел на форуме:
88752
Репутация:
72
|
|
Посмотри тут может быть то. Я просто с такими багами дело не имел.
http://www.derkeiler.com/Mailing-Lists/Full-Disclosure/2004-03/0679.html
|
|
|
17.07.2007, 14:20
|
|
Участник форума
Регистрация: 06.06.2006
Сообщений: 213
Провел на форуме:
1628290
Репутация:
474
|
|
Microsoft JScript runtime error '800a000d'
Type mismatch
/CreateCD.asp, line 136
Это вообще не скуль =\ С чего ты взял это?) Это просто ошибка скрипта 
|
|
|
|
17.07.2007, 14:54
|
|
Новичок
Регистрация: 15.07.2007
Сообщений: 11
Провел на форуме:
64036
Репутация:
0
|
|
Сообщение от enfix
Это вообще не скуль =\ С чего ты взял это?) Это просто ошибка скрипта
А я неписал что именно это скуль я просто показал то, что вывелось на предложенные варианты.
|
|
|
|
17.07.2007, 20:31
|
|
Участник форума
Регистрация: 01.06.2007
Сообщений: 165
Провел на форуме:
765850
Репутация:
260
|
|
Сообщение от shadow_sword
А я неписал что именно это скуль я просто показал то, что вывелось на предложенные варианты.
Скуль - SQL.
|
|
|
|
17.07.2007, 22:30
|
|
Новичок
Регистрация: 15.07.2007
Сообщений: 11
Провел на форуме:
64036
Репутация:
0
|
|
Сообщение от dimon222
Скуль - SQL.
Димон - пацан, уважаю. Все под стулом) ж)
А если сеоьезно ситуация такая. Есть сайт самописный MSSQL + asp.
Сайт бажный начиная от xss заканчивая элементарным обходом защиты админки... Но как не пытались провести SQL не получалось.
На любые подстановки и монипуляции с ид параметрами сайт глухо стоит - тоесть выдает что данной информации нет. Единственный символ с которым все нормально это & . Тоесть id=13123& показывает тоже что и id=13123. На ввод длинных параметров выдает строку на сайте что запрос не может быть обработан : Overflow.
Все стандартные способы иньекции не катят....
Это было обобщение первых 12 постов.......
Сайт в инет не светит.
Есть у кого нибудь мысли как провести иньекцию?
Последний раз редактировалось shadow_sword; 17.07.2007 в 22:39..
|
|
|
|
17.07.2007, 22:51
|
|
Leaders of Antichat
Регистрация: 25.01.2007
Сообщений: 341
Провел на форуме:
3372120
Репутация:
2565
|
|
Сообщение от shadow_sword
Единственный символ с которым все нормально это & . Тоесть id=13123& показывает тоже что и id=13123.
Потому что для скрипта, это одно и тоже id=13123& и id=13123, до него доходит только id=13123!
& - символ объединения параметров при HTTP GET запросе! читай rfc HTTP 1.0
|
|
|
|
17.07.2007, 22:53
|
|
Новичок
Регистрация: 15.07.2007
Сообщений: 11
Провел на форуме:
64036
Репутация:
0
|
|
Сообщение от invlose
Единственный символ с которым все нормально это &
ну и что
ты надеюсь знаешь как отделяются параметры и значения в гет запросе?
Знаю , так по этому я и спрашиваю как реализовать инжектион через &,
В некоторых статьях & проходит как потанциально уязвимый. Вот тока примеров с ним я не нашел а все стандартные способы не катят.
Пост скриптум: Если нечего сказать лучше промолчи.
|
|
|
|
18.07.2007, 03:39
|
|
Banned
Регистрация: 27.06.2006
Сообщений: 1,614
Провел на форуме:
3887520
Репутация:
2996
|
|
Ребят вы че наркоманы причем тут Sql и & и вообще знаете что означает этот символ?
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [53x]Shadow](/avatars/avatar32248.jpg?414886){kind=avatar}
Похожие темы
Линейный вид
