Форум АНТИЧАТ - Blind SQL Injection в магазине у Земфиры

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Blind SQL Injection в магазине у Земфиры

Опции темы

Поиск в этой теме

Опции просмотра

Blind SQL Injection в магазине у Земфиры

23.03.2006, 00:05

Dmcox

Новичок

Регистрация: 18.12.2005

Сообщений: 11

Провел на форуме:
97865

Репутация: 11

Отправить сообщение для Dmcox с помощью ICQ

Blind SQL Injection в магазине у Земфиры

Есть товар по ссылке http://shop.zemfira.ru/?level=4&pid=18135540
Делаем запрос http://shop.zemfira.ru/?level=4&pid=18135540 AND 1=0 (нет товара

)
Делаем опять запрос http://shop.zemfira.ru/?level=4&pid=18135540 AND 1=1 (поевляется товар)
Так вот все бы хорошо юзера вытащил название базы тоже и версию MySQL, а вот пасс не как не хочет

Помогите заранее СПАСИБО

23.03.2006, 00:29

max_pain89

Постоянный

Регистрация: 11.12.2004

Сообщений: 592

Провел на форуме:
2260903

Репутация: 345

вот что еще нашел. на форуме если вместо логина и пароля вписать ' or '1'='1, то он войдет как дарья, id=1

23.03.2006, 12:22

ArdeOS

Участник форума

Регистрация: 16.07.2004

Сообщений: 196

Провел на форуме:
2509801

Репутация: 211

Можно зайти под "администрацией" если в логине написать "администрация' or '1'='1"
и в пароле ' or '1'='1 ... но пока не могу найти админку (((

23.03.2006, 18:53

max_pain89

Постоянный

Регистрация: 11.12.2004

Сообщений: 592

Провел на форуме:
2260903

Репутация: 345

Цитата:

Сообщение от ArdeOS

а что будет если ты что нибуть другое, не администрация напишешь, если честно ты просто чушь снес, т.к. ' or '1'='1 подразумевает первый попавшийся логин, обычно админа. Вот если логин будет "администрация", а пароль ' or '1'='1 , вот тогда ты зайдешь под администрацией, конечно если он найдет в базе такой логин.

23.03.2006, 19:32

+toxa+

[Лишённый самовыражени

Регистрация: 16.01.2005

Сообщений: 1,787

Провел на форуме:
9751379

Репутация: 3812

Отправить сообщение для +toxa+ с помощью ICQ

Отправить сообщение для +toxa+ с помощью AIM

Нашёл ещё одну скуль
http://www.zemfira.ru/?go=afisha&yy=2005'

__________________

23.03.2006, 19:54

SanyaX

.::Club Life::.

Регистрация: 28.01.2005

Сообщений: 1,205

Провел на форуме:
7426415

Репутация: 1398

Отправить сообщение для SanyaX с помощью ICQ

ты где там зашёл если только через форум у меня ник ксю получается =))

__________________
-=Ok let's Go=-
-=OpenVPN=-

23.03.2006, 23:07

+toxa+

[Лишённый самовыражени

Регистрация: 16.01.2005

Сообщений: 1,787

Провел на форуме:
9751379

Репутация: 3812

Также нашёл XSS

ТУТ ОНА

__________________

Последний раз редактировалось +toxa+; 23.03.2006 в 23:10..

24.03.2006, 08:40

SanyaX

.::Club Life::.

Регистрация: 28.01.2005

Сообщений: 1,205

Провел на форуме:
7426415

Репутация: 1398

Если скуль есть то Xss уже не нужна =))

__________________
-=Ok let's Go=-
-=OpenVPN=-

25.03.2006, 00:33

DRON-ANARCHY

Отец порядка

Регистрация: 04.03.2005

Сообщений: 1,007

Провел на форуме:
1204641

Репутация: 412

Отправить сообщение для DRON-ANARCHY с помощью ICQ

Входит под каким попало ником... у мну Devill надо долго мучаться...

#10

25.03.2006, 00:39

ArdeOS

Участник форума

Регистрация: 16.07.2004

Сообщений: 196

Провел на форуме:
2509801

Репутация: 211

Да, выходит так ...

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Обнаружение Sql инъекций в Oracle, часть вторая	k00p3r	Чужие Статьи	0	13.06.2005 11:26
Sql инъекция и Oracle, часть первая	k00p3r	Чужие Статьи	0	13.06.2005 11:23
SQL Injection для чайников, взлом ASP+MSSQL	k00p3r	Чужие Статьи	0	12.06.2005 12:42
SQL Injection в Oracle	k00p3r	Чужие Статьи	0	12.06.2005 12:41

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход