Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
Как действовать при ASPX Injection? |
11.09.2008, 01:56
|
|
Познающий
Регистрация: 18.03.2006
Сообщений: 47
Провел на форуме:
311345
Репутация:
9
|
|
Как действовать при ASPX Injection?
Нашел сайт, в форму куда надо вводить данные ввел( ' ),получил ошибку которую видите ниже,но не врубаюсь что делать дальше так как тут aspx скрипт,и нету переменных в адресе URL типа id=..
Cервер на базе IIS 6.0
ОС Windows
Также на страницах используется php <=4.4.1
Помогите люди добрые,подскажите как дальше работать (если есть матерьял по ASP иньекций подкиньте мне пару ссылок пожалуйста )
Код:
Server Error in '/passwordrestore' Application.
Invalid login
Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.
Exception Details: System.FormatException: Invalid login
Source Error:
The source code that generated this unhandled exception can only be shown when compiled in debug mode. To enable this, please follow one of the below steps, then request the URL:
1. Add a "Debug=true" directive at the top of the file that generated the error. Example:
<%@ Page Language="C#" Debug="true" %>
or:
2) Add the following section to the configuration file of your application:
<configuration>
<system.web>
<compilation debug="true"/>
</system.web>
</configuration>
Note that this second technique will cause all files within a given application to be compiled in debug mode. The first technique will cause only that particular file to be compiled in debug mode.
Important: Running applications in debug mode does incur a memory/performance overhead. You should make sure that an application has debugging disabled before deploying into production scenario.
Stack Trace:
[FormatException: Invalid login]
_Default.Step1_Click(Object sender, EventArgs e) +638
System.Web.UI.WebControls.Button.OnClick(EventArgs e) +105
System.Web.UI.WebControls.Button.RaisePostBackEvent(String eventArgument) +107
System.Web.UI.WebControls.Button.System.Web.UI.IPostBackEventHandler.RaisePostBackEvent(String eventArgument) +7
System.Web.UI.Page.RaisePostBackEvent(IPostBackEventHandler sourceControl, String eventArgument) +11
System.Web.UI.Page.RaisePostBackEvent(NameValueCollection postData) +33
System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +5102
Исходник ASPX скрипта
Код:
<body>
<form name="form1" method="post" action="default.aspx" id="form1">
<div>
<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="/wEPDwULLTE2MzczNTE1NjQPZBYCAgMPZBYMAgUPDxYCHgdWaXNpYmxlaGRkAgcPDxYCHwBoZGQCCQ8PFgIfAGhkZAILDw8WAh8AaGRkAg0PDxYCHwBoZGQCDw8PFgIfAGhkZGSpIm4bTZvHguHHM8m2vI80xQij8A==" />
</div>
<div>
<strong class="newsdate">Login/Логин:</strong><br />
<input name="fLogin" type="text" id="fLogin" class="inputs" />
<br />
<input type="submit" name="Step1" value="Next step >>" id="Step1" class="inputs" /><br />
<br />
<strong class="newsdate">Question 1/Вопрос 1</strong><br />
<br />
<br />
<br />
<strong class="newsdate">Question 2/Вопрос 2</strong><br />
<br />
<br />
<br />
<br />
<br />
<br />
</div>
<div>
<input type="hidden" name="__EVENTVALIDATION" id="__EVENTVALIDATION" value="/wEWAwK0j4+QCAKm+578DgLl/5WWBHBVhuGV4W5PwfuPNOXFe4lKvH7Q" />
</div></form>
</body>
Последний раз редактировалось Stalingrad; 11.09.2008 в 02:03..
|
|
|
11.09.2008, 02:18
|
|
Познающий
Регистрация: 29.06.2007
Сообщений: 51
Провел на форуме:
1650734
Репутация:
14
|
|
В исходнике
Код:
<form name="form1" method="post" action="default.aspx" id="form1">
заменяешь на
Код:
<form name="form1" method="get" action="default.aspx" id="form1">
и будут у тя параметры в строке.
Ошибка, кажись, лишь говорит что логин неверен.
А статья вот ТУТ вроде по этому делу. |
|
|
|
11.09.2008, 03:04
|
|
Участник форума
Регистрация: 26.02.2006
Сообщений: 209
Провел на форуме:
2418438
Репутация:
93
|
|
Боюсь, что у тебя ничего не получиться! Что называешь "Исходник ASPX скрипта" на самом деле html сгенерированный aspx - страницей!! Ошибка появившееся - это лишь необработанное исключение о несовпадение учётной записи! Замена post на get (как советует предыдущий тс) ничем тебе не поможет, так как aspx страница выполняется на сервере!
|
|
|
|
11.09.2008, 03:14
|
|
Постоянный
Регистрация: 04.11.2007
Сообщений: 331
Провел на форуме:
1724067
Репутация:
806
|
|
могу одно сказать исходя с этих данных - "забудь"
|
|
|
|
11.09.2008, 16:04
|
|
Познающий
Регистрация: 18.03.2006
Сообщений: 47
Провел на форуме:
311345
Репутация:
9
|
|
спасибо
|
|
|
|
27.09.2008, 10:16
|
|
Участник форума
Регистрация: 07.12.2006
Сообщений: 192
Провел на форуме:
492591
Репутация:
123
|
|
Блин на aspx тот же самы injection что и везде, всё зависит не от языка скрипта, а от БД которя там висит, если ты дейчтвительно нашёл багу типа sql-injection то вполне возможно чтото полуится. Как правилос aspx используется, microsoft-access, jet-database, или mssql.
Очень сильно сомневаюсь по поводу php, он на aspx сервере как правило не работает
P.S. но вряд ли это инъекция, такие ошибки на асп часто вылетают
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
