ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
22.07.2008, 22:55
|
|
Познавший АНТИЧАТ
Регистрация: 31.03.2006
Сообщений: 1,167
Провел на форуме:
4072944
Репутация:
1550
|
|
2jokester тогда какие идеи?я не очень знаком с постгрескл..как ты говорил там присутствует pg_shadow , каким образом мне вытащить пассы или это нереально?
|
|
|
22.07.2008, 23:26
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Gorev , А что нужно-то?
Ты пытаешься вынуть пароли от базы, это врятли получится.
В базе могут быть пароли от админок CMS , форума, и т.д.
Чего ты хочешь добиться то?
|
|
|
|
22.07.2008, 23:28
|
|
Познавший АНТИЧАТ
Регистрация: 31.03.2006
Сообщений: 1,167
Провел на форуме:
4072944
Репутация:
1550
|
|
ну мне админка нужна...
|
|
|
|
22.07.2008, 23:52
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Сообщение от Gorev
ну мне админка нужна...
Ну так и ищи под неё пароли в базе, если они там есть.
Если нет-- ничего не делать, пароль от базы ты не вынешь скорее всего. В PostgreSQL доступ к pg_shadow имеет только superuser, так-что прав у тебя не хватит её прочитать
|
|
|
|
23.07.2008, 04:23
|
|
Познающий
Регистрация: 20.01.2008
Сообщений: 47
Провел на форуме:
71868
Репутация:
72
|
|
http://forum.antichat.ru/showpost.php?p=783899&postcount=2000
я могу с помощью этой XSS ломать ящики?
|
|
|
|
23.07.2008, 06:49
|
|
Познавший АНТИЧАТ
Регистрация: 27.04.2007
Сообщений: 1,044
Провел на форуме:
3660186
Репутация:
905
|
|
Пароли хранятся в таблице pg_shadow
pg_shadow в постгресе не таблица
Код:
postgres=# \d pg_shadow
View "pg_catalog.pg_shadow"
Column | Type | Modifiers
-------------+---------+-----------
usename | name |
usesysid | oid |
usecreatedb | boolean |
usesuper | boolean |
usecatupd | boolean |
passwd | text |
valuntil | abstime |
useconfig | text[] |
View definition:
SELECT pg_authid.rolname AS usename, pg_authid.oid AS usesysid, pg_authid.rolcreatedb AS usecreatedb, pg_authid.rolsuper AS usesuper, pg_authid.rolcatupdate AS usecatupd, pg_authid.rolpassword AS passwd, pg_authid.rolvaliduntil::abstime AS valuntil, pg_authid.rolconfig AS useconfig
FROM pg_authid
WHERE pg_authid.rolcanlogin;
А про права правильно сказано  обычному юзеру их не хватит
|
|
|
|
23.07.2008, 08:40
|
|
Постоянный
Регистрация: 06.08.2007
Сообщений: 347
Провел на форуме:
2584838
Репутация:
770
|
|
Не раз просили поглядеть уязвимости на сайтах, реализованных только на хтмл. В основном инет-магазины.
есть какие статьи или "плезные советы" по поиску узявимостей на сайтах такого рода?
для примера: http://easy.md/
|
|
|
|
23.07.2008, 10:23
|
|
Участник форума
Регистрация: 19.03.2008
Сообщений: 108
Провел на форуме:
1357043
Репутация:
137
|
|
Calcutta, я думаю они поменяли только расширение с помощью .htaccess |
|
|
|
23.07.2008, 14:16
|
|
Новичок
Регистрация: 30.06.2008
Сообщений: 20
Провел на форуме:
343870
Репутация:
17
|
|
ну а как опредилить пасивный xss от активного. То есть чем они отличаются я итак знал. Как определить какой надо использовать.
|
|
|
|
23.07.2008, 14:22
|
|
Leaders of Antichat - Level 4
Регистрация: 16.01.2006
Сообщений: 1,966
Провел на форуме:
21768337
Репутация:
3486
|
|
Сообщение от Gianni
ну а как опредилить пасивный xss от активного. То есть чем они отличаются я итак знал. Как определить какой надо использовать.
Если код xss в странице - xss активная. Если же в запросе gpc - пассивная.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
