ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Перезагрузить страницу сайт.ru/phpmyadmin
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

сайт.ru/phpmyadmin
  #1  
Старый 22.07.2008, 04:14
Аватар для ZeUsSaN
ZeUsSaN
Новичок
Регистрация: 02.04.2008
Сообщений: 3
Провел на форуме:
42306

Репутация: 0
Отправить сообщение для ZeUsSaN с помощью ICQ
По умолчанию сайт.ru/phpmyadmin
поскольку в поиске я не нашёл ничего интерестного, и занемательного по моиму ламерскому вопросу.... потому задаю вопрос:

есть "сайт.ру", у етого сайта есть сайт/phpmyadmin
при запросе логина которого я ввожу любой и меня пускает в БД information_schema открываю любую таблицу из 17
PHP код:
CHARACTER_SETS
 COLLATIONS
 COLLATION_CHARACTER_SET_APPLICABILITY
 COLUMNS
 COLUMN_PRIVILEGES
 KEY_COLUMN_USAGE
 PROFILING
 ROUTINES
 SCHEMATA
 SCHEMA_PRIVILEGES
 STATISTICS
 TABLES
 TABLE_CONSTRAINTS
 TABLE_PRIVILEGES
 TRIGGERS
 USER_PRIVILEGES
 VIEWS 
могу Выполнить SQL запрос к БД

Можно с етим что-то сделать? получить какие-то права или ещё чё-нибудь натворить?
 
Ответить с цитированием

  #2  
Старый 22.07.2008, 04:22
Аватар для n0ne
n0ne
Постоянный
Регистрация: 01.01.2007
Сообщений: 796
Провел на форуме:
2693408

Репутация: 861


По умолчанию
Можешь шелл залить через into_outfile. Можешь читать файлы на сервере через load_file(). Всё зависит от твоих желаний
 
Ответить с цитированием

  #3  
Старый 22.07.2008, 04:51
Аватар для guest3297
guest3297
Banned
Регистрация: 27.06.2006
Сообщений: 1,614
Провел на форуме:
3887520

Репутация: 2996


По умолчанию
n0ne
не хватет прав.

Цитата:
любой и меня пускает в БД
тебе нужен root или др привелегерованный пользователь который на самом деле существует.
 
Ответить с цитированием

  #4  
Старый 22.07.2008, 05:01
Аватар для n0ne
n0ne
Постоянный
Регистрация: 01.01.2007
Сообщений: 796
Провел на форуме:
2693408

Репутация: 861


По умолчанию
[ cash ], ZeUsSaN, кстати да..прав, похоже, не хватит =\

ZeUsSaN, Не заметил, что ты не из-под настоящего юзера

з.ы. хотя странно...как он тогда читает содержимое таблиц? 0_о
Последний раз редактировалось n0ne; 22.07.2008 в 05:06..
 
Ответить с цитированием

  #5  
Старый 22.07.2008, 05:11
Аватар для cardons
cardons
Познавший АНТИЧАТ
Регистрация: 19.07.2005
Сообщений: 1,000
Провел на форуме:
5868159

Репутация: 950


По умолчанию
Цитата:
Сообщение от n0ne  
[ cash ]
з.ы. хотя странно...как он тогда читает содержимое таблиц? 0_о
В MySQL версии 5.0 и выше есть база INFORMATION_SCHEMA. Это виртуальная база (не хранится в виде файлов, а формируется во время запуска сервера), содержащая метаданные баз данных, т.е. информацию о структуре баз данных. Доступна только для чтения.
 
Ответить с цитированием

  #6  
Старый 22.07.2008, 13:50
Аватар для n0ne
n0ne
Постоянный
Регистрация: 01.01.2007
Сообщений: 796
Провел на форуме:
2693408

Репутация: 861


По умолчанию
cardons, я знаю просто information_schema. Я не знал, что её можно читать не имея никих прав в бд о_о.
 
Ответить с цитированием

  #7  
Старый 23.07.2008, 06:38
Аватар для ZeUsSaN
ZeUsSaN
Новичок
Регистрация: 02.04.2008
Сообщений: 3
Провел на форуме:
42306

Репутация: 0
Отправить сообщение для ZeUsSaN с помощью ICQ
По умолчанию
могу поделиться ссылкой в ЛС, так как я начинающий хакер а сделать ничего немогу, но очень хочется наказать их, выложив ето на video.antichat.ru)
Последний раз редактировалось ZeUsSaN; 23.07.2008 в 06:41..
 
Ответить с цитированием

  #8  
Старый 23.07.2008, 08:26
Аватар для blackybr
blackybr
♠ ♦ ♣ ♥
Регистрация: 18.05.2006
Сообщений: 1,828
Провел на форуме:
8042357

Репутация: 3742


Отправить сообщение для blackybr с помощью ICQ Отправить сообщение для blackybr с помощью AIM Отправить сообщение для blackybr с помощью Yahoo
По умолчанию
особо интерестного врядли что сделаешь, посмотри версию пма, возможно в ней самой есть баги, с скл запросами в случае отсутствия прав естественно ничего не получится
__________________
Привет! Меня зовут Джордж, и я хотел бы рассказать вам про реинкарнацию (ц) 2x2
 
Ответить с цитированием

  #9  
Старый 31.07.2008, 12:01
Аватар для mr.celt
mr.celt
Участник форума
Регистрация: 06.02.2008
Сообщений: 110
Провел на форуме:
217423

Репутация: 32
По умолчанию
Цитата:
Сообщение от ZeUsSaN  
есть "сайт.ру", у етого сайта есть сайт/phpmyadmin
при запросе логина которого я ввожу любой и меня пускает в БД information_schema открываю любую таблицу из 17
PHP код:
CHARACTER_SETS
 COLLATIONS
 COLLATION_CHARACTER_SET_APPLICABILITY
 COLUMNS
 COLUMN_PRIVILEGES
 KEY_COLUMN_USAGE
 PROFILING
 ROUTINES
 SCHEMATA
 SCHEMA_PRIVILEGES
 STATISTICS
 TABLES
 TABLE_CONSTRAINTS
 TABLE_PRIVILEGES
 TRIGGERS
 USER_PRIVILEGES
 VIEWS 
могу Выполнить SQL запрос к БД
Если я правильно понял, то прочитать содержимое TABLES и COLUMNS ты можешь, значит нужно посмотреть какие сайты хостятся на етом серваке и попробовать использовать инфу из таблиц для доступа скажем к админке, а дальше посмотрим.
 
Ответить с цитированием

  #10  
Старый 31.07.2008, 12:07
Аватар для Ch3ck
Ch3ck
Познавший АНТИЧАТ
Регистрация: 09.06.2006
Сообщений: 1,359
Провел на форуме:
5301021

Репутация: 1879


По умолчанию
Блин... какую инфу? Из вышеприведённых? Удачи
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ