Ваши вопросы по уязвимостям.

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Ваши вопросы по уязвимостям.

Страница 1077 из 2438

1077

Опции темы

Поиск в этой теме

Опции просмотра

#10761

13.12.2009, 10:05

YuNi|[c

Участник форума

Регистрация: 17.09.2006

Сообщений: 248

С нами: 10340793

Репутация: 66

Цитата:

Сообщение от AFoST

ну тут есть функция, в параметрах которой передаётся $file. с лишь этим ничего не сделаешь. вот найдешь где эта функция вызывается, тогда поговорим дальше. возможность тут есть, если вызовется функция и в параметрах предастся значение которое мы в состоянии изменять под наши нужды.

тоесть надо найти где на каком скрипте вызывается функция $file?

вот еще допольнительно:

PHP код:


		
			
private function doPut($path,$file) {

            $putdata = file_get_contents($file);

Последний раз редактировалось YuNi|[c; 13.12.2009 в 10:09..

#10762

13.12.2009, 12:10

Totgeliebt

Познающий

Регистрация: 20.10.2009

Сообщений: 38

С нами: 8715864

Репутация: 5

Цитата:

Сообщение от Totgeliebt

Люди добрые, обьясните кто знает, что это за ошибка?SQL иньекция?
Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'apache'@'localhost' (using password: NO) in /home/gamer/public_html/viewpage.php(26) : eval()'d code on line 6

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/gamer/public_html/viewpage.php(26) : eval()'d code on line 30

Warning: mysql_close(): supplied argument is not a valid MySQL-Link resource in /home/gamer/public_html/viewpage.php(26) : eval()'d code on line 59

Прошу ответить кого-нибудь

#10763

13.12.2009, 12:21

L I G A

Постоянный

Регистрация: 27.07.2008

Сообщений: 614

С нами: 9362947

Репутация: 1196

Цитата:

Сообщение от Totgeliebt

Прошу ответить кого-нибудь

нет коннекта к БД

#10764

13.12.2009, 12:29

YuNi|[c

Участник форума

Регистрация: 17.09.2006

Сообщений: 248

С нами: 10340793

Репутация: 66

Цитата:

Сообщение от Totgeliebt

Прошу ответить кого-нибудь

да похож на sql инъекци на mysql но может коннект

#10765

13.12.2009, 14:09

p.r0phe.t

Познающий

Регистрация: 22.08.2009

Сообщений: 98

С нами: 8799871

Репутация: 19

Цитата:

Сообщение от Totgeliebt

Прошу ответить кого-нибудь

Пишет,что нет доступа юзеру апач.

#10766

13.12.2009, 14:16

geezer.code

Reservists Of Antichat - Level 6

Регистрация: 22.01.2007

Сообщений: 616

С нами: 10158086

Репутация: 1359

Totgeliebt

http://la2.sz.ru/viewpage.php?page_id=13&clan_name=Administration&i d=2
Да?
сайт сам в дауне вроде как, но похоже что просто удален пароль, или конфиг с credentials для БД

#10767

13.12.2009, 14:18

Pashkela

Динозавр

Регистрация: 10.01.2008

Сообщений: 2,841

С нами: 9649706

Репутация: 3338

)) Вот меня ругают еще после такого....

Цитата:

Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'apache'@'localhost' (using password: NO) in /home/gamer/public_html/viewpage.php(26) : eval()'d code on line 6

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/gamer/public_html/viewpage.php(26) : eval()'d code on line 30

Warning: mysql_close(): supplied argument is not a valid MySQL-Link resource in /home/gamer/public_html/viewpage.php(26) : eval()'d code on line 59

Никакой sql-инъекции тут нет, просто раскрытие путей:

1. Нет соединения с базой
2. Нет соединения с базой - не может выполнить запрос
3. Нет соединения с базой - не может закрыть соединение с базой

Учите английский и php

PS: Зачем вообще пытаться сломать сайт, где нет соединения с БД и такие косяки с выводом ошибок?

Цитата:

Сообщение от 'YuNi|

тут на
и

указывает
может посоветуете как провести инклуд

смотря откуда берется $file. И то, это не инклуд, при самых сладких условиях - читалка

Последний раз редактировалось Pashkela; 13.12.2009 в 14:24..

#10768

13.12.2009, 16:47

budden

Участник форума

Регистрация: 26.07.2008

Сообщений: 267

С нами: 9364549

Репутация: 184

Ситуация:
mysql5 на винде2003, есть sql-injection, права рута, сайт лежит на d:\ - однако into outfile не работает (думаю нет виндовых прав на запись).

Что известно: каталог установки винды, имя учетки - стандартный administrator. FTP сервер не опознается по имени. Админки нету.

Вопрос: что можно сделать?

#10769

13.12.2009, 20:23

$n@ke

Постоянный

Регистрация: 18.09.2006

Сообщений: 867

С нами: 10339586

Репутация: 1396

ищи диру под запись,админку, ws_ftp.log и т.п.
веб-сервер какой?

#10770

13.12.2009, 22:53

SeNaP

Участник форума

Регистрация: 07.08.2008

Сообщений: 281

С нами: 9347610

Репутация: 165

Какие есть методы заливки шелла, через форму загрузки изображения ?

Последний раз редактировалось SeNaP; 13.12.2009 в 23:00..

Страница 1077 из 2438

1077

Предыдущая тема Следующая тема

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Ваши ламерские приколы (Ну когда только комп появился)	PEPSICOLA	Болталка	188	23.05.2010 10:05
Ваши любимые компьютерные игры	PEPSICOLA	Болталка	280	19.08.2009 00:01
Ваши телеги...	F-IFTY	Болталка	13	18.08.2009 18:22
Вопросы по Ipb 2.0	Voodoo_People	Уязвимости CMS / форумов	26	15.02.2005 22:57

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход