ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
02.02.2019, 22:09
|
|
Guest
Сообщений: n/a
Провел на форуме:
9177
Репутация:
4
|
|
Всем привет! Есть сайт с возможной sqli.
Как примерно он выглядит:
Код:
Code:
https://site.com/search.php?page=1&max=10
Уязвим параметр "max=10", он устанавливает максимальное отображение результатов на странице. Позволяет указывать только 10, 20, 50, 100. Если ввести отличное число от этих, выведет 10 по умолчанию.
Я недавно в сетевой ИБ, а именно SQLI.
Хотелось бы вашей помощи, специалисты)
Код:
Code:
https://site.com/search.php?page=1&max=20/**//**//**/
- ТАК ВЫВОДИТ РЕЗУЛЬТАТ
Код:
Code:
https://site.com/search.php?page=1&max=20nf4ngfefmweifniwengj
- ОШИБКА
Код:
Code:
https://site.com/search.php?page=1&max=20'
- ОШИБКА
Код:
Code:
https://site.com/search.php?page=1&max=20''
(два апострофа) - ОШИБКА
Код:
Code:
https://site.com/search.php?page=1&max=20"
- ОШИБКА
Код:
Code:
https://site.com/search.php?page=1&max=20""
- ОШИБКА
Код:
Code:
https://site.com/search.php?page=1&max=20/*!"№;%:*"'@#$%^*()*/
- ТАК ВЫВОДИТ РЕЗУЛЬТАТ
Код:
Code:
https://site.com/search.php?page=1&max=/**/20
- ОШИБКИ НЕТ, НО ВЫВОДИТ ПО УМОЛЧАНИЮ 10
Код:
Code:
https://site.com/search.php?page=1&max=30afnwqwfnn
- ОШИБКИ НЕТ, НО ВЫВОДИТ ПО УМОЛЧАНИЮ 10. Заметила что если ввести отличное от этих (10, 20, 50, 100), то пропускает любые символы без ошибок.
Код:
Code:
https://site.com/search.php?page=1&max=20/**/20
- ОШИБКА
Была попытка провести через SQLMap, не увенчалось успехом. WAF нету. Сказал что параметр динамический. level 5. risk не поднимала пока еще. После поста попробую, но плохое предчувствие.
Вывод напрашивается что это все же sqli исходя из того что параметр съедает комментарии. Но познаний мало, и есть мысли что может и не sqli.
Подскажите ваши мысли плис! Спасибо! |
|
|
|
02.02.2019, 23:19
|
|
Guest
Сообщений: n/a
Провел на форуме:
238786
Репутация:
40
|
|
ТЫ девушка ?
|
|
|
|
03.02.2019, 01:13
|
|
Guest
Сообщений: n/a
Провел на форуме:
9177
Репутация:
4
|
|
Сообщение от altblitz
altblitz said:
↑
Да пошол он на***! Кошмар!
Сообщение от BabaDook
BabaDook said:
↑
ТЫ девушка ? Не важно! И про пост мой забудьте. Ждала более адекватных ответов.
|
|
|
|
03.02.2019, 01:44
|
|
Guest
Сообщений: n/a
Провел на форуме:
104689
Репутация:
1
|
|
Сообщение от giloo
giloo said:
↑
Всем привет! Есть сайт с возможной sqli.
Как примерно он выглядит:
Код:
Code:
https://site.com/search.php?page=1&max=10
Уязвим параметр "max=10", он устанавливает максимальное отображение результатов на странице. Позволяет указывать только 10, 20, 50, 100. Если ввести отличное число от этих, выведет 10 по умолчанию.
Я недавно в сетевой ИБ, а именно SQLI.
Хотелось бы вашей помощи, специалисты)
Код:
Code:
https://site.com/search.php?page=1&max=20/**//**//**/
- ТАК ВЫВОДИТ РЕЗУЛЬТАТ
Код:
Code:
https://site.com/search.php?page=1&max=20nf4ngfefmweifniwengj
- ОШИБКА
Код:
Code:
https://site.com/search.php?page=1&max=20'
- ОШИБКА
Код:
Code:
https://site.com/search.php?page=1&max=20''
(два апострофа) - ОШИБКА
Код:
Code:
https://site.com/search.php?page=1&max=20"
- ОШИБКА
Код:
Code:
https://site.com/search.php?page=1&max=20""
- ОШИБКА
Код:
Code:
https://site.com/search.php?page=1&max=20/*!"№;%:*"'@#$%^*()*/
- ТАК ВЫВОДИТ РЕЗУЛЬТАТ
Код:
Code:
https://site.com/search.php?page=1&max=/**/20
- ОШИБКИ НЕТ, НО ВЫВОДИТ ПО УМОЛЧАНИЮ 10
Код:
Code:
https://site.com/search.php?page=1&max=30afnwqwfnn
- ОШИБКИ НЕТ, НО ВЫВОДИТ ПО УМОЛЧАНИЮ 10. Заметила что если ввести отличное от этих (10, 20, 50, 100), то пропускает любые символы без ошибок.
Код:
Code:
https://site.com/search.php?page=1&max=20/**/20
- ОШИБКА
Была попытка провести через SQLMap, не увенчалось успехом. WAF нету. Сказал что параметр динамический. level 5. risk не поднимала пока еще. После поста попробую, но плохое предчувствие.
Вывод напрашивается что это все же sqli исходя из того что параметр съедает комментарии. Но познаний мало, и есть мысли что может и не sqli.
Подскажите ваши мысли плис! Спасибо! sqlmap в помощь
|
|
|
|
03.02.2019, 02:00
|
|
Guest
Сообщений: n/a
Провел на форуме:
9177
Репутация:
4
|
|
Сообщение от altblitz
altblitz said:
↑
У нас, язык общения - отличается грубостью и жёсткостью. Привыкай и слёзы вытри, пожалуйста! Пока что кроме дешевых понтов ничего не видно, а только неадекватное самовыражение в интернете, сидя за ПК где ты чувствуешь себя в безопасности, "мужчина".
Легко быть героем на форуме да?
|
|
|
|
03.02.2019, 02:01
|
|
Guest
Сообщений: n/a
Провел на форуме:
9177
Репутация:
4
|
|
Сообщение от Sensoft
Sensoft said:
↑
sqlmap в помощь Писала уже, что пробовала, никакие пейлоады не прошли
|
|
|
|
03.02.2019, 02:34
|
|
Постоянный
Регистрация: 05.06.2009
Сообщений: 706
Провел на форуме:
2764047
Репутация:
759
|
|
Сообщение от giloo
giloo said:
↑
Пока что кроме дешевых понтов ничего не видно, а только неадекватное самовыражение в интернете, сидя за ПК где ты чувствуешь себя в безопасности, "мужчина".
Легко быть героем на форуме да? Ясно.
Вот здесь, я беззащитная девушка, а здесь - я боевитая феминистка!
Блиц, заботится о твоей безопасности в интернете, славная моя ))
Расширяет твой кругозор и приобщает ко своему стилю общения, да!
|
|
|
03.02.2019, 02:39
|
|
Guest
Сообщений: n/a
Провел на форуме:
9177
Репутация:
4
|
|
Сообщение от altblitz
altblitz said:
↑
Вот здесь, я беззащитная девушка, а здесь - я боевитая феминистка! А что ты хотел котик? Иначе меня бы тут не было.
|
|
|
|
03.02.2019, 02:43
|
|
Guest
Сообщений: n/a
Провел на форуме:
238786
Репутация:
40
|
|
Сообщение от giloo
giloo said:
↑
Кошмар!
Не важно! И про пост мой забудьте. Ждала более адекватных ответов. Никто о твоём посте и не помнит, даже можно сказать его никто и не заметил ))
|
|
|
|
03.02.2019, 02:48
|
|
Постоянный
Регистрация: 05.06.2009
Сообщений: 706
Провел на форуме:
2764047
Репутация:
759
|
|
Сообщение от giloo
giloo said:
↑
А что ты хотел котик? Иначе меня бы тут не было. Заняться акробатикой желаю с тобой!
Одень свою самую красивую ти-шорточку на плечики нежные.
Тебе ясны указания партай-геноссе Блиц?
Запрыгни ножками стройными ко мне на шею! Быстро, я тебе приказал!
Блиц отжимает 150кг в упражнениях тяж.-атл на спине.
Тебе это понравится, Дюймовочка моя - смотреть на мир с высоты 180см Блиц ))
Пиши есчё, мне нравится твой дерзкий характер!
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
